[법무법인 민후 | 김경환 변호사] 연구보안의 법적 과제와 조치사항

연구보안의�법적�과제와�조치사항

� � � � � � � � � � � � � � � � � � � � � � � � � � � � � � �법무법인 민후�김경환�변호사� ��

- 2 -

목� � � 차

연구보안의�근거�및� 영역○�

보안관리체계○�

참여연구원�관리�○�

연구개발�내용�및� 성과의�관리○�

연구시설�관리�○�

정보통신망�관리� �○�

- 3 -



참여연구원�관리� 인적( )○�

연구개발�내용�및� 성과의�관리� 물적( )○�

연구시설�관리� 물적( )○�

정보통신망�관리� 물적( )�○�

- 4 -

연구보안의�근거규정

국가연구개발사업의� 관리� 등에� 관한� 규정 제 조의 제 항� 별표� 의< >� 24 7 2 [ 2○� ⇒�

국가연구개발사업�보안관리�조치사항4]�

국가연구개발사업�보안관리�표준�매뉴얼○�

� � �

- 5 -

잠재적�범죄자로�취급?

보유�정보의�가치�증대로�인한�불가피한�현상○�

선진국일수록 큰�기관이나�기업일수록�연구보안이�강화되어�있음,�○�

- 6 -

연구보안의�영역



연구개발�내용�및�성과의�관리� 물적( )○�



보안� 기술적�보안 논리적�보안 관리적�보안� 물리적�보안�*� :� ( )� /� /�

- 7 -







- 8 -

보안관리체계� 보안관리규정의�제정 개정:� 1.� ㆍ

취지� 연구개발�성과물을�보호하고�연구보안� 사고를�예방하기�위한�가장�기:�○�

본적인�조치�사항�

내용�○�

� � �

- 9 -

절차� 제개정시� 자체�연구보안심의회의� 심의를� 거쳐� 연구기관의�장으로부터�:�○�

승인을�받은�다음 시행하여야�함,�

- 10 -

보안관리체계� 연구보안심의회의�운영:� 2.�

취지� 연구개발과제� 보안관리와� 관련한� 각종� 안건을� 심의하기� 위하여� 자체:�○�

적으로�운영하는�위원회

구성� 내부�임직원들�중에서� 인� 이상� 인� 이내� 위원을�공식적�절차를�거:� 5 10○�

쳐� 임명하고�위원장은�연구관리�총괄부서장을�선임하는�게� 통상임

- 11 -

업무�○�

연구개발사업과�관련된�자체�보안관리�규정의�제정�및� 개정� � � -�

연구개발사업의�보안등급�분류에�대한�적정성�심의� � � -�

보안사고의�처리�� -�

연구보안�관련�포상자�추천�� -�

기타�위원장이�필요하다고�인정하는�사항� � � -�

- 12 -

운영�○�

연구기관�장� 또는�위원장의�필요에�따라�위원회�개최� � � -�

재적위원의� 분의� 이상�출석� 출석위원�과반수�이상�찬성� � � -� 3 2� +�

가부�동수시�위원장이�캐스팅�보트� � � -�

관련자�출석시켜�의견진술받을�수�있음� � � -�

- 13 -

보안관리체계� 보안관리자의�지정 배치:� 3.� ㆍ

임명자� 연구기관의�장�:�○�

� � �

- 14 -

자격� 연구관리� 업무� 또는� 그에� 합당한� 업무경험이� 있는� 자로서� 외부에서�:�○�

실시하는�연구보안�관련�교육을�이수한�자�

업무�○�

연구보안�관리를�위한�종합계획�수립� � � -�

종합계획을�효율적으로�운영하기�위한�지도�감사�및� 교육� 진행� � � -�

전반적인�연구보안�조치�수행� � � -�

정기적인�연구보안�실태�점검�� -�

연구보안심의회의�운영�및� 관리� � � -�

각� 과제별로� 분임연구보안� 책임자� 또는� 분임연구보안� 담당자� 지정하여� 운영○�

할� 수� 있음

- 15 -

보안관리체계� 보안관리규정�교육�및� 홍보:� 4.�

취지� 전� 직원을� 대상으로� 한� 교육을� 정기적� 또는� 수시로� 실시하고 효율적:� ,�○�

으로�홍보하여�보안관리규정의�숙지�및� 실천할�수�있도록�함

교육회수� 매년� 회� 이상� 정기적으로 다만� 연구보안관리규정의�변경�등� 필:� 1 .�○�

요하다고�인정한�경우에는�수시로도�가능

교육방법� 집합교육 온라인 유인물배포�등:� ,� ,�○�

교육�사후관리� 설문조사�이후�개선점�보완:�○�

홍보내용� 연구보안관리규정 사고예방법 사고의�사례 사고시�대처방안�등:� ,� ,� ,�○�

- 16 -

보안관리체계� 보안우수자�및�위반자에�대한�조치:� 5.�

보안우수자�조치< >

취지� 임직원들의�사기�진작�및�적극적인�참여�유도 보안의식�제고:� ,�○�

포상기준� 포상�선정�평가기준의�정비�및�엄격한�심사�필요:�○�

포상심의� 연구보안심의회�또는�인사위원회;�○�

포상내용� 보상금�및� 인사상�가산점:�○�

포상�사후조치� 우수사례의�공유:�○�

- 17 -

보안위반자�조치< >

보안위반자�처벌�규정의�마련�필요�○�

보안위반자�� *�

연구정보�및� 비밀정보의�유출자� � � -�

연구개발정보의�관리�소홀�� -�

출입통제의�위반� � � -�

사전�승인절차의�위반� � � -�

사후조치�위반� � � -�

보안위반의�동기�� *�

영리목적�� -� 63%�

인사�및�처후� 불만�� -� 13%�

- 18 -

보안위반자에�대한�징계�절차�시행○�

보안위반자에�대한�사후관리�○�

중요�과제�참여�제한�� -�

지속적인�관리�� -�

- 19 -

보안관리체계� 보안사고�예방 대응 재발�방지책�마련:� 6.� ㆍ ㆍ

예방○�

교육 홍보 실태점검의�실시� � � -� ,� ,�

모의�훈련� 실시� � � -�

- 20 -

대응�○�

보안사고�대응지침의�마련�� -�

비공개�진행�원칙� � � -�

단계별�대응방안 상황보고�체계정비 비상연락망�구축�� -� ,� ,�

사고탐지�시스템�구축�� -�

사고�조사시�증거의�확보�필요� � � -�

보고서�작성� �� -�

중앙행정기관의�장에�대하여� 일내�보고� � � -� 5

국정원�개입�등은�중앙행정기관의�장이�판단함� � � -�

- 21 -

재발방지○�

사고원인�분석�후�지침� 등에�반영� � � -�

보안위반자�처벌�및� 연구개발사업�참여�제한� � � -�

보안심의위원회�개최하여�재발방지�대책�수립� � � -�

재발방지�대책은�연구기관의�장이�중앙행정기관의�장에게�보고� � � -�

중앙행정기관의�장은�심의�이후�심의결과를�통보함� � � -�

- 22 -

보안관리체계� 보안점검�및�보안교육�실시:� 7.�

취지� 보안관리취약점�발견을�위한�보안점검�실시�:�○�

보안점검실� 연구보안관리자가�매년�실시:�○�

사전준비� 보안점검�항목의�준비�:�○�

사후�○�

결과보고서�작성�및� 사후� 조치�이행� � � -�

연구보안심의회�승인을�거쳐�연구기관의�장에게�보고함� � � -�

취약점에�대한�권고�사항은�지침�등에�반영함� � � -�

- 23 -

보안관리체계� 비상시�대응계획�수립:� 8.�

취지� 화재 홍수 재난 재해�등의�비상사태�발생시�대응계획�수립:�○� ㆍ ㆍ ㆍ

대응계획�내용�○�

발생�인지시부터�사태�종료시까지의�일련의�대응�과정을�명시� � � -�

화재 홍수�등의�비상�형태에�따라�행동요령�준비� � � -� ㆍ

대응조직�명시�� -�

비상연락망�구성�� -�

인명대피나�구조�계획 중요�자산�대피�계획을�포함함� � � -� ,�

긴급복구�계획이나�사후�처리도�포함되어야�함� � � -�

대응계획에�따른�모의훈련이나�교육�실시○�

- 24 -

보안관리체계� 공동�및� 위탁�연구시�사전승인절차�이행:� 9.�

적용범위� 보안과제에�대하여만�적용함:�○�

취지� 무단으로�외국으로의�기술유출을�예방하기�위하여�:�○�

사유� 외국기업�또는�해외에�있는�연구기관과�공동연구�및� 위탁연구를�수행:�○�

하는�경우�

의무자� 보안과제를�수행하는�연구책임자:�○�

- 25 -

절차�○�

연구책임자가� 연구보안관리자에게� 문서로� 사유를� 제출하면 연구보안관리� � � -� ,�

자는� 연구보안심의회에�상정하여�심의를�받음

공동� 및� 위탁� 연구� 협약� 이전에� 연구기관의� 장� 및� 중앙행정기관의� 장으로� � � -�

부터�사전� 승인을�받아야�함

- 26 -

승인시�고려사항�○�

기술보호를�위한�보안대책이�존재하는지�여부� � � -�

따라서�연구협약서에�참여자의�신원확인 보안준수의무�고지 서약서�집� � � � � *� ,� ,�

행� 등의� 보안대책이�포함되어�있어야�함

공동연구�또는�위탁연구의�타당성� � � -�

- 27 -







- 28 -

참여연구원�관리� 채용시�관리:� 1.�

취지� 참여연구원 외국인� 포함 의� 채용 갱신 퇴직� 시� 고용계약서� 및� 보안:� ( )○� ㆍ ㆍ

서약서를� 받고 이� 경우� 연구과제� 보안관리� 의무� 및� 그� 위반� 시의� 제재� 등,�

을� 명시함

보안사고의�대부분은�퇴직자�또는�현직자에�의하여�발생함�� *�

- 29 -

신입�○�

일시적�고용의�경우에도�보안조치�시행� � � -�

고용� 전에는� 면접이나� 사실조회를� 통하여� 신원확인 신용사실� 확인 범죄� � � -� ,� ,�

사실� 확인 학력과� 전문� 자격� 확인 충성도나� 성실도 태도� 확인 인격적�,� ,� ,�ㆍ

결합�확인

고용�후에는�보안서약서�징구 교육을�통한�책임의식�고양� � � -� ,�

- 30 -

경력자�○�

면접이나� 사실조회를� 통하여� 신원확인 신용사실� 확인 범죄사실� 확인 학� � � -� ,� ,� ,�

력과� 전문�자격�확인 충성도나�성실도 태도�확인 인격적�결합�확인,� ,�ㆍ

추가로 전직에서의� 보안사고� 유무 위장취업� 유무 기술유출� 목적� 유무를�� -� ,� ,� ,�

확인함

고용�이후에는�역시�보안서약서�징구함� � � -�

- 31 -

참여연구원�관리� 재직�중� 관리:� 2.�

취지� 연구과제� 수행� 연구원의� 보안의식을� 높이기� 위한� 보안� 관련� 교육� 이:�○�

수

내용�○�

보안관리규정의�교육�� -�

보안서약서�징구�� -�

외국인의�경우는�영문�보안서약서�징구함� � � � � *�

새로운�프로젝트�참여시에도�징구하는�게� 바람직� � � � � *�

부서�및�직무� 변경시�연구정보의�인수인계�절차�마련� � � -�

- 32 -

참여연구원�관리� 계약갱시시�관리:� 3.�

내용�○�

재계약시�이전�계약기간�동안의�보안규정�준수�여부�확인� � � -�

기술유출�시도�확인� � � -�

연구책임자의�확인증을�서면으로�받도록�함� � � -�

- 33 -

참여연구원�관리� 퇴직자�관리:� 4.�

취지� 퇴직 예정 자의� 반출 예상 자료에� 대한� 보안성� 검토 연구성과물� 회:� ( ) ( ) ,�○�

수 전산망�접속�차단�등의�제때�조치�,�

기술유출의�대부분은�퇴직자에�의하여�발생함� � � *�

- 34 -

퇴직전�관리�○�

퇴직�선언�이전의�근무태도나�행동의�변화�여부�확인� � � -�

비정상적인�행동을�보였다면�기술유출�시도를�의심함� � � -�

퇴직�선언� 전후의�로그기록�확인함� � � -�

퇴직�선언� 이후�중요�연구정보나�시설에�대한�접근�제한� � � -�

퇴직자�인터뷰�� -�

특히�외국으로의�이전시�주의함� � � -�

보안서약서�징구�� -�

전직금지약정�� *�

- 35 -

퇴직후�관리○�

연구정보�등의�재확인� � � -�

하드디스크�등의�보관� 이미징� � � -� ( )

퇴직자의�현직자에�대한�접촉�파악� � � -�

퇴직자의�새로운�직장�파악� � � -�

- 36 -

참여연구원�관리� 국외출장자�관리:� 5.�

취지� 해외�출장�중의�연구보안사고의�예방:�○�

내용�○�

긴장감�이완으로�인한�보안수칙의�미준수� � � -�

회수방법이�없기에�예방만이�상책임� � � -�

보유�자료의�최소화�� -�

귀국�후�보고서�작성�의무�� -�

방문�국가의�치안상황이나�경찰서�위치 대사관�위치�등의�점검� � � -� ,�

연구원�로고�등의�불보유�� -�

전산장비의�암호화� 이동성�전산장치의�필휴� 귀국�후� 전산장비�점검� � � -� /� /�

- 37 -

보안과제�수행자�특칙�○�

중앙행정기관의�장과�국정원의�장에게�통보해야�함� � � -�

발표하거나�공개해야�할�자료는�보안성�검토를�받아야�함� � � -�

- 38 -

참여연구원�관리� 연구성과�유출혐의자�관리:� 6.�

취지� 연구보안�사고�재발�방지�:�○�

내용�○�

중요�과제나�보안과제의�참여�제한�� -�

특별한�접근이나�출입의�통제�강구� � � -�

지속적인�감시� � � -�

관리대장�생성� � � -�

- 39 -

참여연구원�관리� 보안교육:� 7.�

취지� 보안교육의�정기적�실시를�통한�보안사고�사전�예방:�○�

내용�○�

기� 설명한�내용과�동일� � � -�

- 40 -

참여연구원�관리� 접촉외국인�관리:� 8.�

취지� 외국인�접촉시�우려되는�연구기밀정보의�유출에�대한�예방:�○�

매우� 간단한�사안�질의� 보답� 중요한�사안�질의�순서� � � *� →� →�

내용�○�

접촉외국인�현황�파악�및� 관리대장�기록�� -�

보안과제�참여연구원은�외국인�접촉�하루전에�접촉신청서�작성하여�연구책� � � -�

임자�승인� 득함

보안과제� 참여연구원은� 외국인� 접촉� 이틀� 이내에� 첩촉결과서� 작성하여� 연� � � -�

구책임자에게�보고함

접촉�중�특이한�사항�발생시�즉시�연구책임자나�연구보안관리자에게�보고� � � -�

- 41 -

참여연구원�관리� 외국인�연구원�관리:� 9.�

취지� 기술유출에�대한�잠재적�가능성�:�○�

코롱 듀폰�사례� 하이닉스 도시바�사례� � � *� //�ㆍ ㆍ

내용�○�

영문보안서약서�징구 보안교육�실시�� -� ,�

출입제한 접근통제�실시�� -� ㆍ

열람대상�제한� � � -�

특이�동향� 수시�관찰�� -�

반출자료에�대한�보안성�검토�� -�

퇴직시�자료�회수�및�보안유지의무�부과� � � -�

- 42 -

보안과제의�특칙�○�

보안과제�참여의�제한�원칙� � � -�

부득이하게�참여가�불가피한�경우에는�별도의�보안대책�강구� � � -�

보안과제� 참여시� 사전에� 연구보안심의회의� 심의� 및� 연구기관� 장의� 승인�� -�

득함

연구책임자의�수시보고�의무�� -�

강한�보안대책�강구� � � -�

- 43 -

참여연구원�관리� 상시출입자�및�파견자�관리:� 10.�

상시출입�외부인에�대한�관리○�

경비 청소원 운송업체 업체�등� � � -� ,� ,� ,� A/S�

연구개발� 용역업체� 임직원� 역시� 상시출입자이지만 연구정보와� 직접적으로�� -� ,�

접촉하므로�별도로�관리함

연구개발� 용역업체와� 비밀유지계약� 체결하고 해당� 출입자로부터� 보안서약� � � -� ,�

서� 징구함

기타�상시출입자로부터는�보안서약서�징구함� � � -�

출입대장의�작성� � � -�

- 44 -

일시출입자�관리�○�

사전에�방문예약�신청받아�관리함� � � -�

신분을�확인함� � � -�

보안교육을�하는�곳도�있음� � � -�

출입증 출입대장�구비� � � -� ,�

등의� 전자장비�소지�제한� � � -� USB�

- 45 -







- 46 -

연구개발�내용�및� 성과의�관리� 연구개발물�관리:� 1.�

관리방안의�선택�○�

특허�� -�

영업비밀�� -�

산업기술�� -�

전담부서의�필요○�

- 47 -

영업비밀�○�

비밀유지성이�중요�� -�

분류 표시� 대상자�및� 접근방법의�접근통제� 비밀유지의무�부과� � � � � *� /� /�ㆍ

특허○�

신규성�및� 직무발명�문제�발생�� -�

외국에서� 등록된� 경우는� 등록공보� 발간� 후� 월� 내에� 등록공보의� 사본을�� -� 3

연구기관의�장에게�제출하여야�함

- 48 -

자체�연구개발과제에�대한�보안등급의�부여� 연구심의회에서�부여( )○�

급� 비밀� 누설시� 국가안전보장� 및� 국가방위상� 위협을� 초래하거나� 과학� � � -� :�Ⅰ

기술개발을�위태롭게�하는�등의�우려가�있다고�판단되는�비밀�

급� 비밀� 누설시�국가안전보장� 및� 연구기관� 경영에�막대한�지장을�초래� � � -� :�Ⅱ

할� 우려가� 있거나� 과학기술개발에� 막대한� 지장을� 초래할� 우려가� 있는� 비

밀�

급� 비밀� 누설시� 국익에� 손해를� 끼칠� 우려가� 있거나� 연구기관� 경영� 및�� -� :�Ⅲ

연구사업�수행에�상당한�손실을�끼칠�우려기�있는�비밀�

연구대외비� 연구비밀에� 속하지� 않으나� 누설될� 경우� 연구기관에� 손해� 또� � � -� :�

는� 불이익을�끼칠�우려가�있는�사항

- 49 -

국가연구개발과제에�대한�보안등급�분류� 연구개발선정평가단에서�부여( )○�

보안과제� 연구개발결과물� 등이� 외부로� 유출될� 경우� 기술적 재산적� 가치� � � -� :� ·

에� 상당한�손실이�예상되어�보안조치가�필요한�과제

예 국가핵심기술�등�� )�

일반과제� 보완과제로�지정되지�아니한�과제�� -� :�

- 50 -

외부기관과�공동협약시�○� 보안과제 연구결과물의�관리��

유형적� 결과물과� 무형적� 결과물로� 구분하여� 이에� 대한� 소유� 기준을� 구체� � � -�

적으로�명확하게�수립하여�협약시�반영하여야�함

유형적� 결과물은� 주관연구기관의� 소유로� 하되 공동연구기관의� 소유로도�� -� ,�

할� 수� 있음

무형적� 결과물은� 주관연구기관의� 단독� 소유를� 원칙으로� 함 공공연구기관� � � -� .�

의� 소유로도� 할� 수� 있으나� 소속� 중앙행정기관의� 장과� 국가정보원의� 장의�

사전�승인�심사를�거쳐야�함

국가안보에� 필요한� 경우나� 공익적� 목적� 등이� 있는� 경우는� 협약에서� 정한�� -�

바에�따라� 국가�소유로�할� 수� 있음

연구개발�중단시�그� 산출물은�주관연구기관의�소유로�함� � � -�

- 51 -

연구개발�성과물의�활용�○�

기술실시계약� 체결시� 실시예정자의� 사업� 및� 경영능력 의욕� 등을� 판단하여�� -� ,�

성공적인�실용화가�가능하다고�판단되는�경우에만�계약체결을�함

과제에�따라�중앙기관의�장에게�보고해야�하는�경우도�있음� � � -�

보안과제의�경우는� 제 자�기술실시권�금지�협약을�체결하여야�함� � � -� ‘ 3 ’

실시계약�해지시�원상회복�및� 비밀누설방지�등의�조치를�취하여야�함� � � -�

- 52 -

연구개발�내용�및� 성과의�관리� 주요문서의�관리:� 2.�

취지� 문서� 형태로� 저장된� 정보의� 관리 여기서� 문서란� 연구성과물을� 제외:� ,�○�

한�연구노트나�회의록�등을�의미함

보안등급의�부여○�

주요�문서에�대하여�등급�부여�� -�

급� 비밀 급�비밀 연구대외비 일반문서� � � � � *� I ,� II ,� ,�

급� 비밀� 지정시� 연구책임자가� 비밀등급을� 신청하면� 연구보안심의회에서�� -� I

심의한� 후� 연구기관의� 장에게� 보고한� 후� 보안등급을� 지정하나 그� 외는�,�

연구책임자의�판단�하에�자율적으로�지정함

- 53 -

문서의�활용�○�

열람� 비밀관리기록부에�기록함� � � -� :� ‘ ’

복제 복사� 복제나�복사는�제한함� � � -� :�ㆍ

비인가의�접근�방지�○�

보존�기한의�명시�의무�� -�

외부에�노출되지�않는�곳에�보관�� -�

생성�부서 개별보관 또는�연구기관 통합보관 에서�보관�가능�� -� ( )� ( )

문서관리기록부�유지�� -�

- 54 -

문서의�파기�○�

중요도가� 감소했거나� 특허로� 공개되는� 등� 보존가치가� 없는� 문서는� 보존�� -�

기한� 전에� 파기함

복구가�불가능하도록�파기함� � � -�

- 55 -

연구개발�내용�및� 성과의�관리� 연구개발성과의�대외공개:� 3.�

사전에�연구책임자의�보안성�검토�절차�필수�○�

공개�기준�○�

� � �

- 56 -

비공개�기간�○�

보안과제는�최대� 년�이내의�범위에서�해당�보안과제에서�정한�기간� � � -� 3

지적재산권� 취득을� 위하여� 공개유보를� 요청한� 경우는� 년� 월� 이내로� 정� � � -� 1 6

한� 기간�

영업비밀�보호�등의�비공개를�요청한�경우는� 년� 월� 이내로�비공개�� -� 1 6

- 57 -

연구개발�내용�및� 성과의�관리� 국외기술�이전:� 4.�

기술이전이�필요한�경우에는�그에�대한�보안대책이�수립되어야�함�○�

기술�이전이�필요한�기술과�보호할�기술을�명확하게�구분하여야�함�○�

지적재산권� 보호가� 미흡한� 국가에� 진출할� 때는� 사전에� 특허로� 출원하여� 권○�

리화하는�것은�바람직�

보안대책�○�

비밀유지협약�체결�� -�

이전받은�자의�기술이전의�금지�협약�체결� � � -�

보호조치�이행을�계약서에�명기하고�손해배상�의무를�부과함� � � -�

계약해지시�기술자료의�반납�의무�부과�� -�

- 58 -

국가로부터�연구개발비를�지원받아�개발한�국가핵심기술○�

산업통상자원부장관의�승인을�득해야�함�� -�

그� 외� 국가핵심기술의�경우에는�사전신고를�하여야�함� � � -�

이를�어길시�수출중지 수출금지 원상회복�등의�조치를�명할�수� 있음� � � -� ㆍ ㆍ

- 59 -







- 60 -

연구시설�관리� 외부�정보통신매체�반출입�통제:� 1.�

취지� 유출경로의�차단:�○�

내용�○�

이동저장매체 모바일기기 카메라�등이�반출입�통제�품목임� � � -� ,� ,�

불가피하게�반입시�연구보안관리자와�연구책임자의�사전승인�득함� � � -�

반입시에는�악성코드�감염�여부를�확인하여야�함� � � -�

카메라�등에는�봉인�작업을�함� � � -�

내부� 기기를� 반출하는� 경우는� 연구책임자� 등의� 사전승인을� 득하고� 비밀유� � � -�

지서약서에�서명하여야�함�

반출입�관리대장의�작성� � � -�

- 61 -

연구시설�관리� 주요시설물�관리:� 2.�

취지� 주요시설물�내의�연구정보�등의�유출�방지�:�○�

내용�○�

등의� 감시장치의�설치를�통해�지속적인�모니터링�� -� CCTV�

전산실�등의�제한통제구역에는�필수적으로�설치하여야�함� � � -�

카메라�등의�해상도를�고려하여야�함�� -�

무단� 열람�금지�� -� CCTV�

정기적인�백업�및�유지보수�� -�

출입통제시스템�설비를�통한�비인가자�출입�통제�� -�

출입통제시�신뢰성�있는�인증수단�구비� � � -�

- 62 -

연구시설�관리� 보호구역�별도�관리:� 3.�

취지� 보안과제�실험실 전산실�등의�보호구역�설정�및� 관리�:� ,�○�

내용�○�

보호구역�지정을�통한�선택과�집중적�관리�� -�

제한구역 외부인�출입통제 과�통제구역 비인가자�출입통제 으로�구별�� -� ( ) ( )

단계� 분류� 공용구역 일반구역 제한구역 통제구역� � � � *4 :� ,� ,� ,�

재해로부터의�보호를�위한�보호구역�관리� � � -�

외부인� 또는� 비인가자의� 접근이� 필요한� 경우에는� 보안관리자의� 사전승인�� -�

득하고�보안서약서�징구하며 출입시�준수사항�주지시켜야�함�,�

보호구역�작업일지�작성� � � -�

- 63 -

연구시설�관리� 외부�입주기관�통제�및� 관리:� 4.�

취지� 동일한�건물�내에�외부기관이�입주한�경우의�통제�및� 관리:�○�

내용�○�

출입증�발급�등� 출입통제� � � -�

망분리�등� 네트워크�분리�� -�

출입구의�물리적�분리�� -�

- 64 -

연구시설�관리� 연구시설�출입자�통제:� 5.�

취지� :�○� 보안과제와�관련이�없는�내부직원의�통제�필요

내용�○�

인가자만�출입할�수� 있도록�특별관리구역�또는�통제구역�지정�및� 고지�� -�

출입증�발급�및� 출입증�발급대장�관리�� -�

출입관리대장�구비�� -�

정기�방문자의�경우�보안서약서�징구받음� � � -�

비인가자�출입시�임직원과�동행함� � � -�

- 65 -

연구시설�관리� 외부방문자�출입통제:� 6.�

취지� :�○� 보안과제의�경우�외부방문자의�강한�통제�필요

내용�○�

정기방문자와�일시방문자를�구분함� � � -�

연구개발� 용역업체� 직원� 등의� 정기방문자의� 경우는� 연구정보에� 대한� 노출� � � -�

이� 될� 수� 있기�때문에�엄격하게�통제함�

어떤�경우이든지�내방시�임직원과�동행함� � � -�

외국정부 기관�또는�단체가�일시적으로�연구기관을�방문한�경우에는�연구� � � -� ㆍ

책임자는� 일� 전까지� 중앙행정기관의� 장� 및� 국가정보원장에게� 보고하여야�5

함�

- 66 -







- 67 -

정보통신망�관리� 업무용� 관리:� 1.� PC�

취지� 사이버범죄로부터�보호�:�○�

내용�○�

강한�패스워드�설정� 종류� 자리 종류� 자리� � � -� (3 +� 8 ,� 2 +� 10 )

게스트�계정의�비활성화�� -�

패스워드의�사용을�통한�사용자�인증�강화�� -� BIOS�

방화벽�설정�� -�

화면보호기능�� -�

자동로그인�금지�� -�

최신�패치프로그램�설치�� -�

- 68 -

신뢰할�수� 없는� 사이트�접근�금지�또는�파일�다운로드�금지�� -�

백신프로그램�설치�및� 최신�상태�유지�� -�

비인가�소프트웨어�또는�불법�소프트웨어�설치�금지�� -�

저작권�이슈도�발생함� 폰트�등� � � *� :� Matlab,� Ansys,�

- 69 -

정보통신망�관리� 저장매체�관리:� 2.�

취지� 하드웨어의�설치 교체 폐기�등의�모든�과정에서�보안절차�이행:�○� ㆍ ㆍ

내용�○�

이동성이�약한�매체와�강한�매체가�있음� � � -�

장비�구매시�승인받음�� -�

보안과제의� 경우는� 정보유출의� 수단으로� 사용하지� 않겠다는� 서약을� 한� 후�� -�

연구책임자로부터� 사전승인을� 득함 연구책임자는� 연구기관의� 장에게� 최종.�

승인을�득함�

구매부서는�보안성�검토�이후�장비를�구매함�� -�

관리번호� 부여하여� 자산관리담당자가� 관리함 특히� 이동형� 저장매체는� 등� � � -� .�

- 70 -

록하여�관리대장을�통하여�관리함�

정보보안관리자는� 월� 회� 이상� 이동형� 저장매체의� 수량� 및� 보관� 상태를�� -� 1

점검하여�확인 서명하여야�함�ㆍ

보안과제에� 필요한� 저장매체는� 일반과제와� 분리하여� 관리하여야� 함 예컨� � � -� .�

데� 금고나�이중�캐비닛에�보관하여야�함�

- 71 -

정보통신망�관리� 정보시스템�사용기록�:� 3.�

취지� 보안사고�발생�대비� 사후대응�:� +�○�

내용�○�

로그기록 사용기록 송수신기록�등�� -� ,� ,�

바람직하게는� 년�이상� 보관하되 최소� 개월�이상�보관하여야�함�� -� 1 ,� 6

사용기록�관리자를�별도로�지정함�� -�

사용기록의�무결성이�훼손되지�않도록�함�� -�

열람권한은� 담당자로� 한정하나� 사고시� 연구기관의� 장� 및� 보안책임자의� 승� � � -�

인� 하에�예외적으로�타인의�열람이�허용됨�

- 72 -

정보통신망�관리� 전산장비의�폐기�:� 4.�

취지� 폐기시�발생할�수� 있는� 정보유출�예방�:�○�

내용�○�

복구되지�않도록�폐기�� -�

완전포맷 디가우징 완전소각�등�� -� ,� ,�

폐기시�관리책임자가�입회함�� -�

폐기일시�등을�관리대장에�기재함�� -�

- 73 -

- 74 -

정보통신망�관리� 데이터�전송�:� 5.�

개인용�저장매체에�전송시○�

연구책임자�및�연구보안관리자의�사전승인�득함�� -�

신청서�작성함�� -�

보안과제의�경우는�연구기관의�승인을�득해야�함�� -�

승인�내용과�실제�전송�내용이�동일한지�확인해야�함�� -�

- 75 -

외부로의�전송�○�

전자메일 팩스 문자�등� � � -� ,� ,�

메일의�경우는�외부메일의�사용�금지�� -�

팩스의�경우는�보안이�강화된�팩스장비를�이용해야�함�� -�

문자의�경우는�가급적�통제하고 부득이한�경우는�암호화하여야�함�� -� ,�

웹하드의�경우는�암호화하여�업로드하여야�함�� -�

수신자�확인을�위하여�인증절차를�거쳐야�함� � � -�

�

- 76 -

정보통신망�관리� 데이터유출�제한:� 6.�

데이터유출�경로�○�

� � �

- 77 -

데이터�유출가능�경로�관리�○�

이동식�저장매체� 반출입�통제정책이�필요� � � -� :�

웹서비스� 잘� 알려진�웹취약점�점검� � � -� :�

물리적�요인� 출입통제�� -� :�

악성코드� 이메일�등의�관리�� -� :�

무선인터넷� 보안설정�� -� :�

- 78 -

전산자료에�대한�접근�통제�○�

담당관리자�지정�� -�

취급자�최소화�및�접근권한�차등�부여�� -�

접근통제�� -�

접근기록�관리�� -�

이용내역�보관�및�분석 점검� � � -� ㆍ

접근권한�정책�수립�� -�

접근권한�심사위원회�구성�및� 운영�� -�

본인확인이나�인증�절차�마련�� -�

- 79 -

정보통신망�관리� 데이터�백업:� 7.�

사내�백업시스템�○�

내부연구원에�의한�실수 외부공격에�대한�파손�등에�대비한�백업�� -� ,�

백업담당자�및�관리자�지정�� -�

백업주기�설정� 데이터의�중요도에�따라�일 주 월�설정� � � -� ( ,� ,� )

전부�백업하거나�변경분만을�백업하거나�선택�가능�� -�

백업관리대장의�기록�� -�

- 80 -

원격지�백업�○�

사내�백업분의�소실�방지를�위한�원격지�백업� � � -� (vaulting)

온라인�백업�또는�오프라인�백업� � � -�

- 81 -

정보통신망�관리� 전산망�보호�설비:� 8.�

정보통신망�보호�설비�마련�○�

침입차단시스템�� -�

침입탐지시스템� � � -�

- 82 -

정보통신망�관리� 접근�제한:� 9.�

내부망�연결�제한�○�

라우터 스위치�설치�� -� /

침입차단시스템�� -�

무선통신망�관리�○�

유출이�수월하기�때문에�보안강화�� -�

- 83 -

정보통신망�관리� 네트워크�자료�관리:� 10.�

비인가자의�내부망�침입�방지○�

- 84 -

결� � 론

지키지�않으면�미래 가�없다( )未來

- 85 -

감사합니다.�

[email protected]

[법무법인 민후 | 김경환 변호사] 연구보안의 법적 과제와 조치사항

Law