영업비밀자료등급분류체계마련연구 2016 년 10 월 28 일 중앙대학교장항배
산업기술유출현황 1
영업비밀유출현황 2
영업비밀보호수준 영업비밀침해보호관련및유출통계현황 영 영업비밀보호필요정도 영업비밀유출경험유무 ( 출처 : 영업비밀보호센터 ) 3
영업비밀정의 부정경쟁방지및영업비밀보호에관한법률 ( 제 2 조제 2 호 ) 영업비밀이란공공연히알려져있지아니하고 ( 비공지성 ) 독립된경제적가치를가지는것으로서, ( 경제적유용성 ) 합리적인노력에의하여비밀로유지된 ( 비밀관리성 ) 생산방법, 판매방법, 그밖에영업활동에유용한기술상또는경영상의정보 비공지성 경제적유용성 비밀관리성 영업비밀 4
영업비밀요건 비공지성 불특정다수가그정보를알고있거나알수있는상태에있지않은것 경쟁사업자가이미알고있거나제한없이입수할수없는경우 ( 정보의보유자를통하지않고는그정보를입수할수없음 ) 경제적유용성 경쟁자에대하여경쟁상의이익을얻을수있거나, 그정보의취득이나개발을위해상당한비용이나노력이필요한경우 유용성은객관적으로판단 ( 예 : 사업활동사용, 비용절약, 경영효율개선등 ) 비밀관리성 비밀로유지하려는의사 + 합리적인노력을기울여비밀로유지하려는행위 외부에서부정한수단에의하지않고서는그정보를알지못할정도로관리하고있을것 영업비밀관리흐름 1 영업비밀의지정및표시 2 영업비밀의분류 3 접근권한자의지정 4 관리규정의제정 활동 ( 행위 ) 5
영업비밀비밀관리성판단요소 법원의검토빈도율및상관계수를고려한기업의영업비밀보호조치우선순위 ( 출처 : 판례분석을통한영업비밀보호가이드연구 (2013)) 6
영업비밀비밀관리성인정판례 비밀관리성인정 - A 회사의기술자료관리상황 7
영업비밀자료의등급분류인정판례 8
정보등급화연구방법론 영업비밀 ( 정보 ) 대상의등급화연구방법론 1-1. 보호대상정보 O 보호대상정보수집 O 군집화및단위화 2-1. 단위화된정보평가 3. 정보등급화체계검증 1-2. 등급화기준 2-2. 정보등급화모형설계 O 기준요소도출 O 기준요소검증 ( 요인분석등 ) 9
정보단위화 영업비밀 ( 정보 ) 대상의단위화이유 (1) 수준과분류의부적절함 경영정보 제조정보 회계정보 영업정보 관리정보 - 단기, 중기, 장기경영계획및전략 - 제조기술자료 - 자금정책자료 - 내수, 수출총괄실적 - 인사정책 - 사업계획 - 제조원가및단가 - 재무제표 - 영업판매계획 - 인원및인건비총괄사항 - 사업투자계획 - 출시제품관련사항 - 결산서 - 영업계약정보 - 승진및진급관련인사고과자료 - 경영 ( 비즈니스표준운영 ) 계획 - 제조, 설비투자관련사항 - 세무관련자료 - 영업실적 - 징계자료 - 경영실적및분석자료 - 공장, 장치의설계도및공정도 - 결산관련정책및보고서 - 판매기법및매뉴얼 - 중요사업의참여인원개인신상및이력사항 - 이사회및임원회의자료 - 외주업체평가자료 - 매출관련자료 - 광고판촉계획및전략 - 업무관련보안절차 - 자회사및하청업체의사업정보 - 기술개선보고서 - 자산관리자료 - 제품브로셔 - 자체개발된교육매뉴얼 - 경영진단및감사보고서 - 품질관리관련보고서 - 웹사이트를통한자료 - 자동화계획관련사항 - 판매를위한제품샘플자료 - 영업대상고객정보 - 신용조사자료 - 시장조사자료 10
정보단위화 영업비밀 ( 정보 ) 대상의단위화이유 (2) 정보 와 자료 정보는무형의것, 내용 (contents) 그자체 자료는정보를유형화한것으로서전산 Data, 종이기록물, 영상매체등다양한형태로존재 따라서무형의것인정보를관리하기는어려움이존재하므로, 자료단위로등급을분류 자료단위의등급분류시문제점 1. 하나의자료에여러 ( 다양한 ) 정보의종류가담길수있으나, 결국하나의등급으로대별 ( 예 : 사업계획서 ) 2. 자료에담기는정보들이지속적으로일정하게중요도, 민감도를갖는다고볼수없음 ( 예 : 월간경영회의록 ) 정보자체 ' 를적절히분류, 관리할수있는속성체계개발이필요 ( 정교한수준의 ) 정보의내용 (contents) 분석을통해등급을판정하는접근방식이중요 11
정보등급화기준수립 현재영업비밀 ( 정보 ) 대상의등급화문제점 기업자산평가 1. 자산이어떤것 2. 얼마나중요한것보호해야할자산이어떤것들이있는지알아보는것을 자산식별, 그자산들이얼마나중요한지평가하는것을 자산민감도평가 라고함 이두가지평가의방법론은정량적인수치를도출하기위하여진행되는것 대개다음과같은표를이용하여민감도평가를함 평가지표는기밀성, 무결성, 가용성의합으로구성 평가지표및평가산술식은보안컨설팅회사마다다를수있지만 표와크게다르지는않음 평가는자산담당자와의협의를통해결정 정량적인특징이깨질수있음 ( 자의적수치결정 ) 더욱이서로다른자산을관리하는각담당자별로평가기준이상이할수있음 자의적으로결정된자산의민감도는전체위험도에영향을끼침 한계점 12
정보등급화기준수립 선행연구 1 범정부정보보호등급제 범정부정보보호등급제에서는각기관의정보보호관련규정, 인력 조직상황등이달라보안관리활동및정보보호수준이상이함에도불구하고, 중요도가낮은정보시스템에대해서도동일한보안관리기준을적용하여관리비용이과다발생하는것을방지하고자시스템특성 ( 서비스영향범위, 정보처리도, 연계시스템, 업무연속성보장, 보유정보량 ) 과기관의특성 ( 기관신뢰도 ) 을고려하여정보보호등급을산정함 < 정보시스템보안등급산정기준 > ( 출처 : 행정자치부, 범정부정보보호등급제, 2016) 13
정보등급화기준수립 선행연구 2 정보자원유지보수등급측정매뉴얼 정보자원유지보수등급측정매뉴얼에서는정보자원의등급을결정하기위한측정관점을업무중요도, 자원특성, 유지보수특성으로구성함 < 정보자원등급측정항목및기준 > ( 출처 : 한국정보화진흥원, 정보자원유지보수등급측정매뉴얼, 2013) 14
정보등급화기준수립 선행연구 3 특허기술의기술사업성가치평가를위한범주형평가지표모델개발특허기술의기술사업성가치평가를위한범주형평가지표모델개발연구에서는 33개국내외기술가치평가모형중주요한평가모형의평가요인을선행연구하여, 평가요인및항목의구조화를위해평가요인을기술성부문과사업성부문으로분류하고각기분류된평가요인을기술성및사업성부문의중항목에따라조정함 < 특허기술평가항목 > ( 출처 : 서영보외 5 명, 특허기술의기술사업성가치평가를위한범주형평가지표모델개발, 2005) 15
정보등급화기준수립 선행연구 4 미국국립기술이전센터 (NTTC) TOP Index 미국국립기술이전센터는미우주항공국 (NASA), 국방성, 법무성등의기금에의하여설립된기술이전기관으로써연방정부에서지원한연구소, 대학등의연구결과들을산업계, 벤처투자자들에연계시키는과정에서필요시기술평가업무를수행함이기관의기술평가과정은기술정보제출, 기술평가팀구성, 1차검토, 자료수집, 정밀평가, 평가결과보고등으로구성됨. 평가과정중 1차검토는고객이제출한기술에대해예비적인검토로서진행되고, 본평가과정에서는기술의시장가능성과라이센싱가능성을평가함. 평가결과는각기술에대해기술의상업성등급기준에따라 0에서 10까지의등급으로부여됨 평가항목기술적인장점전용사용권경쟁환경시장성기술적인장애요소제조능력규제문제제품시판시기필요한조직기대투자이익기여 ( 공헌 ) 요소 점검항목신규성, 기술적인내용, 기술의습득용이성, 완성도, 기술의확장성, 제품화의복잡성지적재산권 (ip) 의등급, 특허의형태, 특허의가능성, 현재의특허상태, 특허의주기, 예상되는특허클레임의강도 유사한기술개발의존재여부, 경쟁사의반응, 기술의장점, 기술의상대적인장점열거, 제품또는기술에관심있는회사명열거이제품의필요성이있는고객그룹이나분야를기술, 시장에서이기술이필요한정도 기술적인장애열거 ( 안정성, 수행기준, 기술적인양보성, 유입한부품 / 시약개발 ), 기술적인장애를극복하기위한가능성 운영기술, 조작기술의능력, 제조장비의복잡성, 재료와특수부품의필요성, 제조과정의복잡성, 특수환경이필요한가 ( 청정한방, 냉방등 ) 이제품의관련정부기관을기술, 정부관련기관의영향, 고려할산업규제기관 ( 회계사표준연구소등 ), 산업규제기관의영향 시판시기, 실제적인제품시판계획에대해서열거, 기술적인영향 ( 충격 ), 제품시판시기의중요성, 시장변화, 경쟁제품에의한가격요인 제품을지원할조직의기술수준, 외부의지원이필요한가 ( 공동연구, 기술자문등 ), 기슬대표자의리더십과기술력, 마케팅수준 ( 조직 ) 상용화를위한투자금액, 비슷한제품의현재수익률 (%), 시판시기 (7년이상, 1~2년이내 ), 제품생산전까지의전체개발비용 대학연합기술여부, 확정된특허품여부, 연구소요기간, 정부유관연구협회 ( 기관 ) 여부, 건강관련기술여부, 국방관련기술여부 <NTTC TOP Index> ( 출처 : 미국국립이전센터 (NTTC)) 16
정보등급화기준수립 선행연구 5 일본특허청 일본특허청의지적재산권평가방법은평가지표의항목에따라평가점수를기입하는것으로이루어지며, 평가항목은고유평가부분과 checking 항목평가부분및종합평가부분으로나누어짐이항목중고유평가부분과 checking 항목평가부분은다시세분해서평가하는데, 먼저고유평가부분의경우는기본항목과권리고유평가로, checking 항목평가부분은이전유통성평가와사업성평가로분류됨 < 지적재산권평가방법 > ( 출처 : 일본특허청 ) 17
정보등급화기준수립 영향인자도출에관한선행연구정리 아래표는선행연구에서다양한등급분류대상에따른영향인자를도출하여정리한내용이며 14 개를조사 출처등급분류대상영향인자 1. 공개위험측도를활용한군개인정보등급분류개선군개인정보개인정보의식별여부, 개인정보노출위험도, 개인정보이용빈도 2. 정보보안모범사례가이드정보자산의가치 CIA( 정보의무결성, 정보의기밀성, 정보의가용성 ) 3. 범정부정보보호등급제정보시스템 정보시스템이업무에미치는영향범위, 정보시스템의정보처리도 ( 량 ), 정보시스템의타시스템연계영향도, 업무 연속성보장정도, 정보시스템의보유정보량 정보자원이지원하는정보시스템의업무중요도 ( 업무영향범위, 데이터중요도, 이용자수 / 처리건수 ) 4. 정보자원유지보수등급측정매뉴얼정보자원 정보자원의고유한특성 정보자원의유지보수특성 ( 유지보수복잡도, 유지보수업무형태 ) 5. 특허기술의기술사업성가치평가를위한 범주형평가지표모델개발 특허기술 기술의관리성 ( 특허기술의권리화상황등 ), 기술의혁신성 ( 기술수준, 기술개발난이도 ) 사업성 ( 시장규모, 시장경쟁구도, 상용화가능시기 ) 6. 미국국립기술이전센터 (NTTC) TOP Index 기술 기술의상태, 기술의신규성, 기술의범위와심도, R&D 지원사항, 기술보호, 경쟁기술, 상업화시기, 상업화에필요한자금, 예상매출액, 환경적인문제들 7. Dow Chemical(TF Method, Technology Factor Method) 기술기술의가치를평가하기위한유용성및경쟁성평가항목 8. 일본기술평가정보센터 (CTA) 기술기술의신규성 ( 기술경쟁력, 기술우위성 ), 실현가능성 ( 기술신뢰성 ), 시장성 ( 기술수명, 수용안정성 ) 권리고유평가 ( 권리의존속기간, 대체기술과의기술우위성 ) 9. 일본특허청지적재산권 이전유통성평가 ( 기술이전의신뢰성, 권리의안정성 ) 사업성평가 ( 사업화가능성, 사업규모, 수익성 ) 10. 일본 IS Rating 기업내정보기업내정보자산의침해행위에대한영향도 ( 국내외, 사회인프라, 조직, 개인 ) 11. 일본가나가와고도기술재단기술 기술적우위성, 신규성, 대체가능성, 경쟁력, 기술이전용이성 사업적시장경쟁력, 실용성, 응용성, 확장가능성 12. 한국발명진흥회기술기술의난이도, 정밀도, 기능및성능, 파급효과 13. 중소기업진흥공단기술보유기술의독창성, 응용성, 활용정도, 개발비, 산업파급효과 14. 기업은행기술기술인력, 기술경쟁력, 기술개발능력, 제품우위성, 개발기술실용성 18
정보등급화기준수립 영업비밀 ( 정보 ) 대상의등급화기준마련근거 불특정다수가그정보를알고있거나알수있는상태에있지않은것 경쟁사업자 (1) 가이미알고있거나제한없이입수할수없는경우 경쟁자에대하여경쟁상의이익 (2) 을얻을수있거나 그정보의취득이나개발을위해상당한비용이나노력 (3) 이필요한경우 비밀로유지하려는의사 (4) 합리적인노력을기울여비밀로 유지하려는행위 (5) 영업비밀의요건 3 가지를 정보등급화기준 마련의근거로 정보가외부로유출되었을때의업무영향도 (1) 정보활용을통한사업성효과 (2) 정보본연의가치, 정보의수준 (4) 정보를창출및유지하는데소비되는노력과비용 (3) 정보활용을위한사용행위 (5) 19
정보등급화기준수립 영업비밀 ( 정보 ) 대상의등급화기준설계 검증순서 1. 보안전문가 20 명설문 ( 파일럿테스트 ) 2. 추가전문가 ( 실무자 ) 회의 3. 본설문진행 점수화방안 국내 IT 활용조사 Service Level Agreement 기준 L M H 정보활용도 30% 이하 30%~60% 60% 이상 복구시간 수일 수개월 수년 정보창출비용 정보유지비용 2 가지이상결정요인존재 재무적손실 중소기업 10 억원이하 50 억원이하 50 억원이상 대기업 100억원이하 500억원이하 1,000억원이상기업규모 업종에따른상이한기준존재 체계구성안 각기준별 3 점 * 가중치 -> 정보하나당총점 3 점으로 점수별등급 (3 등급 ) 기준 -> 1 등급 : 비밀, 2 등급 : 대외비, 3 등급 : 공공으로구분 20
감사합니다