연구보안의 법적 과제와 조치사항 법무법인 민후 김경환 변호사
연구보안의�법적�과제와�조치사항
� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �법무법인 민후�김경환�변호사� �� � � � � �
- 2 -
목� � � 차
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리�○�
연구개발�내용�및� 성과의�관리○�
연구시설�관리�○�
정보통신망�관리� �○�
- 3 -
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및� 성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
- 4 -
연구보안의�근거규정
국가연구개발사업의� 관리� 등에� 관한� 규정 제 조의 제 항� 별표� 의< >� 24 7 2 [ 2○� ⇒�
국가연구개발사업�보안관리�조치사항4]�
국가연구개발사업�보안관리�표준�매뉴얼○�
� � �
- 5 -
잠재적�범죄자로�취급?
보유�정보의�가치�증대로�인한�불가피한�현상○�
선진국일수록 큰�기관이나�기업일수록�연구보안이�강화되어�있음,�○�
- 6 -
연구보안의�영역
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및�성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
보안� 기술적�보안 논리적�보안 관리적�보안� 물리적�보안�*� :� ( )� /� /�
- 7 -
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및� 성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
- 8 -
보안관리체계� 보안관리규정의�제정 개정:� 1.� ㆍ
취지� 연구개발�성과물을�보호하고�연구보안� 사고를�예방하기�위한�가장�기:�○�
본적인�조치�사항�
내용�○�
� � �
- 9 -
절차� 제개정시� 자체�연구보안심의회의� 심의를� 거쳐� 연구기관의�장으로부터�:�○�
승인을�받은�다음 시행하여야�함,�
- 10 -
보안관리체계� 연구보안심의회의�운영:� 2.�
취지� 연구개발과제� 보안관리와� 관련한� 각종� 안건을� 심의하기� 위하여� 자체:�○�
적으로�운영하는�위원회
구성� 내부�임직원들�중에서� 인� 이상� 인� 이내� 위원을�공식적�절차를�거:� 5 10○�
쳐� 임명하고�위원장은�연구관리�총괄부서장을�선임하는�게� 통상임
- 11 -
업무�○�
연구개발사업과�관련된�자체�보안관리�규정의�제정�및� 개정� � � -�
연구개발사업의�보안등급�분류에�대한�적정성�심의� � � -�
보안사고의�처리�� � � -�
연구보안�관련�포상자�추천�� � � -�
기타�위원장이�필요하다고�인정하는�사항� � � -�
- 12 -
운영�○�
연구기관�장� 또는�위원장의�필요에�따라�위원회�개최� � � -�
재적위원의� 분의� 이상�출석� 출석위원�과반수�이상�찬성� � � -� 3 2� +�
가부�동수시�위원장이�캐스팅�보트� � � -�
관련자�출석시켜�의견진술받을�수�있음� � � -�
- 13 -
보안관리체계� 보안관리자의�지정 배치:� 3.� ㆍ
임명자� 연구기관의�장�:�○�
� � �
- 14 -
자격� 연구관리� 업무� 또는� 그에� 합당한� 업무경험이� 있는� 자로서� 외부에서�:�○�
실시하는�연구보안�관련�교육을�이수한�자�
업무�○�
연구보안�관리를�위한�종합계획�수립� � � -�
종합계획을�효율적으로�운영하기�위한�지도�감사�및� 교육� 진행� � � -�
전반적인�연구보안�조치�수행� � � -�
정기적인�연구보안�실태�점검�� � � -�
연구보안심의회의�운영�및� 관리� � � -�
각� 과제별로� 분임연구보안� 책임자� 또는� 분임연구보안� 담당자� 지정하여� 운영○�
할� 수� 있음
- 15 -
보안관리체계� 보안관리규정�교육�및� 홍보:� 4.�
취지� 전� 직원을� 대상으로� 한� 교육을� 정기적� 또는� 수시로� 실시하고 효율적:� ,�○�
으로�홍보하여�보안관리규정의�숙지�및� 실천할�수�있도록�함
교육회수� 매년� 회� 이상� 정기적으로 다만� 연구보안관리규정의�변경�등� 필:� 1 .�○�
요하다고�인정한�경우에는�수시로도�가능
교육방법� 집합교육 온라인 유인물배포�등:� ,� ,�○�
교육�사후관리� 설문조사�이후�개선점�보완:�○�
홍보내용� 연구보안관리규정 사고예방법 사고의�사례 사고시�대처방안�등:� ,� ,� ,�○�
- 16 -
보안관리체계� 보안우수자�및�위반자에�대한�조치:� 5.�
보안우수자�조치< >
취지� 임직원들의�사기�진작�및�적극적인�참여�유도 보안의식�제고:� ,�○�
포상기준� 포상�선정�평가기준의�정비�및�엄격한�심사�필요:�○�
포상심의� 연구보안심의회�또는�인사위원회;�○�
포상내용� 보상금�및� 인사상�가산점:�○�
포상�사후조치� 우수사례의�공유:�○�
- 17 -
보안위반자�조치< >
보안위반자�처벌�규정의�마련�필요�○�
보안위반자�� � � *�
연구정보�및� 비밀정보의�유출자� � � -�
연구개발정보의�관리�소홀�� � � -�
출입통제의�위반� � � -�
사전�승인절차의�위반� � � -�
사후조치�위반� � � -�
보안위반의�동기�� � � *�
영리목적�� � � -� 63%�
인사�및�처후� 불만�� � � -� 13%�
- 18 -
보안위반자에�대한�징계�절차�시행○�
보안위반자에�대한�사후관리�○�
중요�과제�참여�제한�� � � -�
지속적인�관리�� � � -�
- 19 -
보안관리체계� 보안사고�예방 대응 재발�방지책�마련:� 6.� ㆍ ㆍ
예방○�
교육 홍보 실태점검의�실시� � � -� ,� ,�
모의�훈련� 실시� � � -�
- 20 -
대응�○�
보안사고�대응지침의�마련�� � � -�
비공개�진행�원칙� � � -�
단계별�대응방안 상황보고�체계정비 비상연락망�구축�� � � -� ,� ,�
사고탐지�시스템�구축�� � � -�
사고�조사시�증거의�확보�필요� � � -�
보고서�작성� �� � � -�
중앙행정기관의�장에�대하여� 일내�보고� � � -� 5
국정원�개입�등은�중앙행정기관의�장이�판단함� � � -�
- 21 -
재발방지○�
사고원인�분석�후�지침� 등에�반영� � � -�
보안위반자�처벌�및� 연구개발사업�참여�제한� � � -�
보안심의위원회�개최하여�재발방지�대책�수립� � � -�
재발방지�대책은�연구기관의�장이�중앙행정기관의�장에게�보고� � � -�
중앙행정기관의�장은�심의�이후�심의결과를�통보함� � � -�
- 22 -
보안관리체계� 보안점검�및�보안교육�실시:� 7.�
취지� 보안관리취약점�발견을�위한�보안점검�실시�:�○�
보안점검실� 연구보안관리자가�매년�실시:�○�
사전준비� 보안점검�항목의�준비�:�○�
사후�○�
결과보고서�작성�및� 사후� 조치�이행� � � -�
연구보안심의회�승인을�거쳐�연구기관의�장에게�보고함� � � -�
취약점에�대한�권고�사항은�지침�등에�반영함� � � -�
- 23 -
보안관리체계� 비상시�대응계획�수립:� 8.�
취지� 화재 홍수 재난 재해�등의�비상사태�발생시�대응계획�수립:�○� ㆍ ㆍ ㆍ
대응계획�내용�○�
발생�인지시부터�사태�종료시까지의�일련의�대응�과정을�명시� � � -�
화재 홍수�등의�비상�형태에�따라�행동요령�준비� � � -� ㆍ
대응조직�명시�� � � -�
비상연락망�구성�� � � -�
인명대피나�구조�계획 중요�자산�대피�계획을�포함함� � � -� ,�
긴급복구�계획이나�사후�처리도�포함되어야�함� � � -�
대응계획에�따른�모의훈련이나�교육�실시○�
- 24 -
보안관리체계� 공동�및� 위탁�연구시�사전승인절차�이행:� 9.�
적용범위� 보안과제에�대하여만�적용함:�○�
취지� 무단으로�외국으로의�기술유출을�예방하기�위하여�:�○�
사유� 외국기업�또는�해외에�있는�연구기관과�공동연구�및� 위탁연구를�수행:�○�
하는�경우�
의무자� 보안과제를�수행하는�연구책임자:�○�
- 25 -
절차�○�
연구책임자가� 연구보안관리자에게� 문서로� 사유를� 제출하면 연구보안관리� � � -� ,�
자는� 연구보안심의회에�상정하여�심의를�받음
공동� 및� 위탁� 연구� 협약� 이전에� 연구기관의� 장� 및� 중앙행정기관의� 장으로� � � -�
부터�사전� 승인을�받아야�함
- 26 -
승인시�고려사항�○�
기술보호를�위한�보안대책이�존재하는지�여부� � � -�
따라서�연구협약서에�참여자의�신원확인 보안준수의무�고지 서약서�집� � � � � *� ,� ,�
행� 등의� 보안대책이�포함되어�있어야�함
공동연구�또는�위탁연구의�타당성� � � -�
- 27 -
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및� 성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
- 28 -
참여연구원�관리� 채용시�관리:� 1.�
취지� 참여연구원 외국인� 포함 의� 채용 갱신 퇴직� 시� 고용계약서� 및� 보안:� ( )○� ㆍ ㆍ
서약서를� 받고 이� 경우� 연구과제� 보안관리� 의무� 및� 그� 위반� 시의� 제재� 등,�
을� 명시함
보안사고의�대부분은�퇴직자�또는�현직자에�의하여�발생함�� � � *�
- 29 -
신입�○�
일시적�고용의�경우에도�보안조치�시행� � � -�
고용� 전에는� 면접이나� 사실조회를� 통하여� 신원확인 신용사실� 확인 범죄� � � -� ,� ,�
사실� 확인 학력과� 전문� 자격� 확인 충성도나� 성실도 태도� 확인 인격적�,� ,� ,�ㆍ
결합�확인
고용�후에는�보안서약서�징구 교육을�통한�책임의식�고양� � � -� ,�
- 30 -
경력자�○�
면접이나� 사실조회를� 통하여� 신원확인 신용사실� 확인 범죄사실� 확인 학� � � -� ,� ,� ,�
력과� 전문�자격�확인 충성도나�성실도 태도�확인 인격적�결합�확인,� ,�ㆍ
추가로 전직에서의� 보안사고� 유무 위장취업� 유무 기술유출� 목적� 유무를�� � � -� ,� ,� ,�
확인함
고용�이후에는�역시�보안서약서�징구함� � � -�
- 31 -
참여연구원�관리� 재직�중� 관리:� 2.�
취지� 연구과제� 수행� 연구원의� 보안의식을� 높이기� 위한� 보안� 관련� 교육� 이:�○�
수
내용�○�
보안관리규정의�교육�� � � -�
보안서약서�징구�� � � -�
외국인의�경우는�영문�보안서약서�징구함� � � � � *�
새로운�프로젝트�참여시에도�징구하는�게� 바람직� � � � � *�
부서�및�직무� 변경시�연구정보의�인수인계�절차�마련� � � -�
- 32 -
참여연구원�관리� 계약갱시시�관리:� 3.�
내용�○�
재계약시�이전�계약기간�동안의�보안규정�준수�여부�확인� � � -�
기술유출�시도�확인� � � -�
연구책임자의�확인증을�서면으로�받도록�함� � � -�
- 33 -
참여연구원�관리� 퇴직자�관리:� 4.�
취지� 퇴직 예정 자의� 반출 예상 자료에� 대한� 보안성� 검토 연구성과물� 회:� ( ) ( ) ,�○�
수 전산망�접속�차단�등의�제때�조치�,�
기술유출의�대부분은�퇴직자에�의하여�발생함� � � *�
- 34 -
퇴직전�관리�○�
퇴직�선언�이전의�근무태도나�행동의�변화�여부�확인� � � -�
비정상적인�행동을�보였다면�기술유출�시도를�의심함� � � -�
퇴직�선언� 전후의�로그기록�확인함� � � -�
퇴직�선언� 이후�중요�연구정보나�시설에�대한�접근�제한� � � -�
퇴직자�인터뷰�� � � -�
특히�외국으로의�이전시�주의함� � � -�
보안서약서�징구�� � � -�
전직금지약정�� � � � � *�
- 35 -
퇴직후�관리○�
연구정보�등의�재확인� � � -�
하드디스크�등의�보관� 이미징� � � -� ( )
퇴직자의�현직자에�대한�접촉�파악� � � -�
퇴직자의�새로운�직장�파악� � � -�
- 36 -
참여연구원�관리� 국외출장자�관리:� 5.�
취지� 해외�출장�중의�연구보안사고의�예방:�○�
내용�○�
긴장감�이완으로�인한�보안수칙의�미준수� � � -�
회수방법이�없기에�예방만이�상책임� � � -�
보유�자료의�최소화�� � � -�
귀국�후�보고서�작성�의무�� � � -�
방문�국가의�치안상황이나�경찰서�위치 대사관�위치�등의�점검� � � -� ,�
연구원�로고�등의�불보유�� � � -�
전산장비의�암호화� 이동성�전산장치의�필휴� 귀국�후� 전산장비�점검� � � -� /� /�
- 37 -
보안과제�수행자�특칙�○�
중앙행정기관의�장과�국정원의�장에게�통보해야�함� � � -�
발표하거나�공개해야�할�자료는�보안성�검토를�받아야�함� � � -�
- 38 -
참여연구원�관리� 연구성과�유출혐의자�관리:� 6.�
취지� 연구보안�사고�재발�방지�:�○�
내용�○�
중요�과제나�보안과제의�참여�제한�� � � -�
특별한�접근이나�출입의�통제�강구� � � -�
지속적인�감시� � � -�
관리대장�생성� � � -�
- 39 -
참여연구원�관리� 보안교육:� 7.�
취지� 보안교육의�정기적�실시를�통한�보안사고�사전�예방:�○�
내용�○�
기� 설명한�내용과�동일� � � -�
- 40 -
참여연구원�관리� 접촉외국인�관리:� 8.�
취지� 외국인�접촉시�우려되는�연구기밀정보의�유출에�대한�예방:�○�
매우� 간단한�사안�질의� 보답� 중요한�사안�질의�순서� � � *� →� →�
내용�○�
접촉외국인�현황�파악�및� 관리대장�기록�� � � -�
보안과제�참여연구원은�외국인�접촉�하루전에�접촉신청서�작성하여�연구책� � � -�
임자�승인� 득함
보안과제� 참여연구원은� 외국인� 접촉� 이틀� 이내에� 첩촉결과서� 작성하여� 연� � � -�
구책임자에게�보고함
접촉�중�특이한�사항�발생시�즉시�연구책임자나�연구보안관리자에게�보고� � � -�
- 41 -
참여연구원�관리� 외국인�연구원�관리:� 9.�
취지� 기술유출에�대한�잠재적�가능성�:�○�
코롱 듀폰�사례� 하이닉스 도시바�사례� � � *� //�ㆍ ㆍ
내용�○�
영문보안서약서�징구 보안교육�실시�� � � -� ,�
출입제한 접근통제�실시�� � � -� ㆍ
열람대상�제한� � � -�
특이�동향� 수시�관찰�� � � -�
반출자료에�대한�보안성�검토�� � � -�
퇴직시�자료�회수�및�보안유지의무�부과� � � -�
- 42 -
보안과제의�특칙�○�
보안과제�참여의�제한�원칙� � � -�
부득이하게�참여가�불가피한�경우에는�별도의�보안대책�강구� � � -�
보안과제� 참여시� 사전에� 연구보안심의회의� 심의� 및� 연구기관� 장의� 승인�� � � -�
득함
연구책임자의�수시보고�의무�� � � -�
강한�보안대책�강구� � � -�
- 43 -
참여연구원�관리� 상시출입자�및�파견자�관리:� 10.�
상시출입�외부인에�대한�관리○�
경비 청소원 운송업체 업체�등� � � -� ,� ,� ,� A/S�
연구개발� 용역업체� 임직원� 역시� 상시출입자이지만 연구정보와� 직접적으로�� � � -� ,�
접촉하므로�별도로�관리함
연구개발� 용역업체와� 비밀유지계약� 체결하고 해당� 출입자로부터� 보안서약� � � -� ,�
서� 징구함
기타�상시출입자로부터는�보안서약서�징구함� � � -�
출입대장의�작성� � � -�
- 44 -
일시출입자�관리�○�
사전에�방문예약�신청받아�관리함� � � -�
신분을�확인함� � � -�
보안교육을�하는�곳도�있음� � � -�
출입증 출입대장�구비� � � -� ,�
등의� 전자장비�소지�제한� � � -� USB�
- 45 -
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및� 성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
- 46 -
연구개발�내용�및� 성과의�관리� 연구개발물�관리:� 1.�
관리방안의�선택�○�
특허�� � � -�
영업비밀�� � � -�
산업기술�� � � -�
전담부서의�필요○�
- 47 -
영업비밀�○�
비밀유지성이�중요�� � � -�
분류 표시� 대상자�및� 접근방법의�접근통제� 비밀유지의무�부과� � � � � *� /� /�ㆍ
특허○�
신규성�및� 직무발명�문제�발생�� � � -�
외국에서� 등록된� 경우는� 등록공보� 발간� 후� 월� 내에� 등록공보의� 사본을�� � � -� 3
연구기관의�장에게�제출하여야�함
- 48 -
자체�연구개발과제에�대한�보안등급의�부여� 연구심의회에서�부여( )○�
급� 비밀� 누설시� 국가안전보장� 및� 국가방위상� 위협을� 초래하거나� 과학� � � -� :�Ⅰ
기술개발을�위태롭게�하는�등의�우려가�있다고�판단되는�비밀�
급� 비밀� 누설시�국가안전보장� 및� 연구기관� 경영에�막대한�지장을�초래� � � -� :�Ⅱ
할� 우려가� 있거나� 과학기술개발에� 막대한� 지장을� 초래할� 우려가� 있는� 비
밀�
급� 비밀� 누설시� 국익에� 손해를� 끼칠� 우려가� 있거나� 연구기관� 경영� 및�� � � -� :�Ⅲ
연구사업�수행에�상당한�손실을�끼칠�우려기�있는�비밀�
연구대외비� 연구비밀에� 속하지� 않으나� 누설될� 경우� 연구기관에� 손해� 또� � � -� :�
는� 불이익을�끼칠�우려가�있는�사항
- 49 -
국가연구개발과제에�대한�보안등급�분류� 연구개발선정평가단에서�부여( )○�
보안과제� 연구개발결과물� 등이� 외부로� 유출될� 경우� 기술적 재산적� 가치� � � -� :� ·
에� 상당한�손실이�예상되어�보안조치가�필요한�과제
예 국가핵심기술�등�� � � � � )�
일반과제� 보완과제로�지정되지�아니한�과제�� � � -� :�
- 50 -
외부기관과�공동협약시�○� 보안과제 연구결과물의�관리��
유형적� 결과물과� 무형적� 결과물로� 구분하여� 이에� 대한� 소유� 기준을� 구체� � � -�
적으로�명확하게�수립하여�협약시�반영하여야�함
유형적� 결과물은� 주관연구기관의� 소유로� 하되 공동연구기관의� 소유로도�� � � -� ,�
할� 수� 있음
무형적� 결과물은� 주관연구기관의� 단독� 소유를� 원칙으로� 함 공공연구기관� � � -� .�
의� 소유로도� 할� 수� 있으나� 소속� 중앙행정기관의� 장과� 국가정보원의� 장의�
사전�승인�심사를�거쳐야�함
국가안보에� 필요한� 경우나� 공익적� 목적� 등이� 있는� 경우는� 협약에서� 정한�� � � -�
바에�따라� 국가�소유로�할� 수� 있음
연구개발�중단시�그� 산출물은�주관연구기관의�소유로�함� � � -�
- 51 -
연구개발�성과물의�활용�○�
기술실시계약� 체결시� 실시예정자의� 사업� 및� 경영능력 의욕� 등을� 판단하여�� � � -� ,�
성공적인�실용화가�가능하다고�판단되는�경우에만�계약체결을�함
과제에�따라�중앙기관의�장에게�보고해야�하는�경우도�있음� � � -�
보안과제의�경우는� 제 자�기술실시권�금지�협약을�체결하여야�함� � � -� ‘ 3 ’
실시계약�해지시�원상회복�및� 비밀누설방지�등의�조치를�취하여야�함� � � -�
- 52 -
연구개발�내용�및� 성과의�관리� 주요문서의�관리:� 2.�
취지� 문서� 형태로� 저장된� 정보의� 관리 여기서� 문서란� 연구성과물을� 제외:� ,�○�
한�연구노트나�회의록�등을�의미함
보안등급의�부여○�
주요�문서에�대하여�등급�부여�� � � -�
급� 비밀 급�비밀 연구대외비 일반문서� � � � � *� I ,� II ,� ,�
급� 비밀� 지정시� 연구책임자가� 비밀등급을� 신청하면� 연구보안심의회에서�� � � -� I
심의한� 후� 연구기관의� 장에게� 보고한� 후� 보안등급을� 지정하나 그� 외는�,�
연구책임자의�판단�하에�자율적으로�지정함
- 53 -
문서의�활용�○�
열람� 비밀관리기록부에�기록함� � � -� :� ‘ ’
복제 복사� 복제나�복사는�제한함� � � -� :�ㆍ
비인가의�접근�방지�○�
보존�기한의�명시�의무�� � � -�
외부에�노출되지�않는�곳에�보관�� � � -�
생성�부서 개별보관 또는�연구기관 통합보관 에서�보관�가능�� � � -� ( )� ( )
문서관리기록부�유지�� � � -�
- 54 -
문서의�파기�○�
중요도가� 감소했거나� 특허로� 공개되는� 등� 보존가치가� 없는� 문서는� 보존�� � � -�
기한� 전에� 파기함
복구가�불가능하도록�파기함� � � -�
- 55 -
연구개발�내용�및� 성과의�관리� 연구개발성과의�대외공개:� 3.�
사전에�연구책임자의�보안성�검토�절차�필수�○�
공개�기준�○�
� � �
- 56 -
비공개�기간�○�
보안과제는�최대� 년�이내의�범위에서�해당�보안과제에서�정한�기간� � � -� 3
지적재산권� 취득을� 위하여� 공개유보를� 요청한� 경우는� 년� 월� 이내로� 정� � � -� 1 6
한� 기간�
영업비밀�보호�등의�비공개를�요청한�경우는� 년� 월� 이내로�비공개�� � � -� 1 6
- 57 -
연구개발�내용�및� 성과의�관리� 국외기술�이전:� 4.�
기술이전이�필요한�경우에는�그에�대한�보안대책이�수립되어야�함�○�
기술�이전이�필요한�기술과�보호할�기술을�명확하게�구분하여야�함�○�
지적재산권� 보호가� 미흡한� 국가에� 진출할� 때는� 사전에� 특허로� 출원하여� 권○�
리화하는�것은�바람직�
보안대책�○�
비밀유지협약�체결�� � � -�
이전받은�자의�기술이전의�금지�협약�체결� � � -�
보호조치�이행을�계약서에�명기하고�손해배상�의무를�부과함� � � -�
계약해지시�기술자료의�반납�의무�부과�� � � -�
- 58 -
국가로부터�연구개발비를�지원받아�개발한�국가핵심기술○�
산업통상자원부장관의�승인을�득해야�함�� � � -�
그� 외� 국가핵심기술의�경우에는�사전신고를�하여야�함� � � -�
이를�어길시�수출중지 수출금지 원상회복�등의�조치를�명할�수� 있음� � � -� ㆍ ㆍ
- 59 -
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및� 성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
- 60 -
연구시설�관리� 외부�정보통신매체�반출입�통제:� 1.�
취지� 유출경로의�차단:�○�
내용�○�
이동저장매체 모바일기기 카메라�등이�반출입�통제�품목임� � � -� ,� ,�
불가피하게�반입시�연구보안관리자와�연구책임자의�사전승인�득함� � � -�
반입시에는�악성코드�감염�여부를�확인하여야�함� � � -�
카메라�등에는�봉인�작업을�함� � � -�
내부� 기기를� 반출하는� 경우는� 연구책임자� 등의� 사전승인을� 득하고� 비밀유� � � -�
지서약서에�서명하여야�함�
반출입�관리대장의�작성� � � -�
- 61 -
연구시설�관리� 주요시설물�관리:� 2.�
취지� 주요시설물�내의�연구정보�등의�유출�방지�:�○�
내용�○�
등의� 감시장치의�설치를�통해�지속적인�모니터링�� � � -� CCTV�
전산실�등의�제한통제구역에는�필수적으로�설치하여야�함� � � -�
카메라�등의�해상도를�고려하여야�함�� � � -�
무단� 열람�금지�� � � -� CCTV�
정기적인�백업�및�유지보수�� � � -�
출입통제시스템�설비를�통한�비인가자�출입�통제�� � � -�
출입통제시�신뢰성�있는�인증수단�구비� � � -�
- 62 -
연구시설�관리� 보호구역�별도�관리:� 3.�
취지� 보안과제�실험실 전산실�등의�보호구역�설정�및� 관리�:� ,�○�
내용�○�
보호구역�지정을�통한�선택과�집중적�관리�� � � -�
제한구역 외부인�출입통제 과�통제구역 비인가자�출입통제 으로�구별�� � � -� ( ) ( )
단계� 분류� 공용구역 일반구역 제한구역 통제구역� � � � *4 :� ,� ,� ,�
재해로부터의�보호를�위한�보호구역�관리� � � -�
외부인� 또는� 비인가자의� 접근이� 필요한� 경우에는� 보안관리자의� 사전승인�� � � -�
득하고�보안서약서�징구하며 출입시�준수사항�주지시켜야�함�,�
보호구역�작업일지�작성� � � -�
- 63 -
연구시설�관리� 외부�입주기관�통제�및� 관리:� 4.�
취지� 동일한�건물�내에�외부기관이�입주한�경우의�통제�및� 관리:�○�
내용�○�
출입증�발급�등� 출입통제� � � -�
망분리�등� 네트워크�분리�� � � -�
출입구의�물리적�분리�� � � -�
- 64 -
연구시설�관리� 연구시설�출입자�통제:� 5.�
취지� :�○� 보안과제와�관련이�없는�내부직원의�통제�필요
내용�○�
인가자만�출입할�수� 있도록�특별관리구역�또는�통제구역�지정�및� 고지�� � � -�
출입증�발급�및� 출입증�발급대장�관리�� � � -�
출입관리대장�구비�� � � -�
정기�방문자의�경우�보안서약서�징구받음� � � -�
비인가자�출입시�임직원과�동행함� � � -�
- 65 -
연구시설�관리� 외부방문자�출입통제:� 6.�
취지� :�○� 보안과제의�경우�외부방문자의�강한�통제�필요
내용�○�
정기방문자와�일시방문자를�구분함� � � -�
연구개발� 용역업체� 직원� 등의� 정기방문자의� 경우는� 연구정보에� 대한� 노출� � � -�
이� 될� 수� 있기�때문에�엄격하게�통제함�
어떤�경우이든지�내방시�임직원과�동행함� � � -�
외국정부 기관�또는�단체가�일시적으로�연구기관을�방문한�경우에는�연구� � � -� ㆍ
책임자는� 일� 전까지� 중앙행정기관의� 장� 및� 국가정보원장에게� 보고하여야�5
함�
- 66 -
연구보안의�근거�및� 영역○�
보안관리체계○�
참여연구원�관리� 인적( )○�
연구개발�내용�및� 성과의�관리� 물적( )○�
연구시설�관리� 물적( )○�
정보통신망�관리� 물적( )�○�
- 67 -
정보통신망�관리� 업무용� 관리:� 1.� PC�
취지� 사이버범죄로부터�보호�:�○�
내용�○�
강한�패스워드�설정� 종류� 자리 종류� 자리� � � -� (3 +� 8 ,� 2 +� 10 )
게스트�계정의�비활성화�� � � -�
패스워드의�사용을�통한�사용자�인증�강화�� � � -� BIOS�
방화벽�설정�� � � -�
화면보호기능�� � � -�
자동로그인�금지�� � � -�
최신�패치프로그램�설치�� � � -�
- 68 -
신뢰할�수� 없는� 사이트�접근�금지�또는�파일�다운로드�금지�� � � -�
백신프로그램�설치�및� 최신�상태�유지�� � � -�
비인가�소프트웨어�또는�불법�소프트웨어�설치�금지�� � � -�
저작권�이슈도�발생함� 폰트�등� � � *� :� Matlab,� Ansys,�
- 69 -
정보통신망�관리� 저장매체�관리:� 2.�
취지� 하드웨어의�설치 교체 폐기�등의�모든�과정에서�보안절차�이행:�○� ㆍ ㆍ
내용�○�
이동성이�약한�매체와�강한�매체가�있음� � � -�
장비�구매시�승인받음�� � � -�
보안과제의� 경우는� 정보유출의� 수단으로� 사용하지� 않겠다는� 서약을� 한� 후�� � � -�
연구책임자로부터� 사전승인을� 득함 연구책임자는� 연구기관의� 장에게� 최종.�
승인을�득함�
구매부서는�보안성�검토�이후�장비를�구매함�� � � -�
관리번호� 부여하여� 자산관리담당자가� 관리함 특히� 이동형� 저장매체는� 등� � � -� .�
- 70 -
록하여�관리대장을�통하여�관리함�
정보보안관리자는� 월� 회� 이상� 이동형� 저장매체의� 수량� 및� 보관� 상태를�� � � -� 1
점검하여�확인 서명하여야�함�ㆍ
보안과제에� 필요한� 저장매체는� 일반과제와� 분리하여� 관리하여야� 함 예컨� � � -� .�
데� 금고나�이중�캐비닛에�보관하여야�함�
- 71 -
정보통신망�관리� 정보시스템�사용기록�:� 3.�
취지� 보안사고�발생�대비� 사후대응�:� +�○�
내용�○�
로그기록 사용기록 송수신기록�등�� � � -� ,� ,�
바람직하게는� 년�이상� 보관하되 최소� 개월�이상�보관하여야�함�� � � -� 1 ,� 6
사용기록�관리자를�별도로�지정함�� � � -�
사용기록의�무결성이�훼손되지�않도록�함�� � � -�
열람권한은� 담당자로� 한정하나� 사고시� 연구기관의� 장� 및� 보안책임자의� 승� � � -�
인� 하에�예외적으로�타인의�열람이�허용됨�
- 72 -
정보통신망�관리� 전산장비의�폐기�:� 4.�
취지� 폐기시�발생할�수� 있는� 정보유출�예방�:�○�
내용�○�
복구되지�않도록�폐기�� � � -�
완전포맷 디가우징 완전소각�등�� � � -� ,� ,�
폐기시�관리책임자가�입회함�� � � -�
폐기일시�등을�관리대장에�기재함�� � � -�
- 73 -
- 74 -
정보통신망�관리� 데이터�전송�:� 5.�
개인용�저장매체에�전송시○�
연구책임자�및�연구보안관리자의�사전승인�득함�� � � -�
신청서�작성함�� � � -�
보안과제의�경우는�연구기관의�승인을�득해야�함�� � � -�
승인�내용과�실제�전송�내용이�동일한지�확인해야�함�� � � -�
- 75 -
외부로의�전송�○�
전자메일 팩스 문자�등� � � -� ,� ,�
메일의�경우는�외부메일의�사용�금지�� � � -�
팩스의�경우는�보안이�강화된�팩스장비를�이용해야�함�� � � -�
문자의�경우는�가급적�통제하고 부득이한�경우는�암호화하여야�함�� � � -� ,�
웹하드의�경우는�암호화하여�업로드하여야�함�� � � -�
수신자�확인을�위하여�인증절차를�거쳐야�함� � � -�
�
- 76 -
정보통신망�관리� 데이터유출�제한:� 6.�
데이터유출�경로�○�
� � �
- 77 -
데이터�유출가능�경로�관리�○�
이동식�저장매체� 반출입�통제정책이�필요� � � -� :�
웹서비스� 잘� 알려진�웹취약점�점검� � � -� :�
물리적�요인� 출입통제�� � � -� :�
악성코드� 이메일�등의�관리�� � � -� :�
무선인터넷� 보안설정�� � � -� :�
- 78 -
전산자료에�대한�접근�통제�○�
담당관리자�지정�� � � -�
취급자�최소화�및�접근권한�차등�부여�� � � -�
접근통제�� � � -�
접근기록�관리�� � � -�
이용내역�보관�및�분석 점검� � � -� ㆍ
접근권한�정책�수립�� � � -�
접근권한�심사위원회�구성�및� 운영�� � � -�
본인확인이나�인증�절차�마련�� � � -�
- 79 -
정보통신망�관리� 데이터�백업:� 7.�
사내�백업시스템�○�
내부연구원에�의한�실수 외부공격에�대한�파손�등에�대비한�백업�� � � -� ,�
백업담당자�및�관리자�지정�� � � -�
백업주기�설정� 데이터의�중요도에�따라�일 주 월�설정� � � -� ( ,� ,� )
전부�백업하거나�변경분만을�백업하거나�선택�가능�� � � -�
백업관리대장의�기록�� � � -�
- 80 -
원격지�백업�○�
사내�백업분의�소실�방지를�위한�원격지�백업� � � -� (vaulting)
온라인�백업�또는�오프라인�백업� � � -�
- 81 -
정보통신망�관리� 전산망�보호�설비:� 8.�
정보통신망�보호�설비�마련�○�
침입차단시스템�� � � -�
침입탐지시스템� � � -�
- 82 -
정보통신망�관리� 접근�제한:� 9.�
내부망�연결�제한�○�
라우터 스위치�설치�� � � -� /
침입차단시스템�� � � -�
무선통신망�관리�○�
유출이�수월하기�때문에�보안강화�� � � -�
- 83 -
정보통신망�관리� 네트워크�자료�관리:� 10.�
비인가자의�내부망�침입�방지○�
- 84 -
결� � 론
지키지�않으면�미래 가�없다( )未來