국가연구개발사업 보안대책

제    정 2022. 6. 20 기상청고시 제2022- 4호


제1조(목적) 이 지침은 「국가연구개발혁신법」(이하 “법”이라 한다) 제21조제1항 및 같은 법 시행령(이하 “영”이라 한다) 제44조에 따른 중앙행정기관의 장이 수립하는 소관 국가연구개발사업 및 연구개발과제(이하 “연구개발과제등”이라 한다)와 관련한 보안대책으로서 법 제21조제1항에 따른 중요 정보가 유출되지 아니하도록 방지함을 목적으로 한다.

제2조(적용범위) 이 지침은 중앙행정기관 소관 국가연구개발사업에 적용한다. 다만, 중앙행정기관의 장이 해당 국가연구개발사업에 대하여 그 특성에 따라 별도의 보안규정을 마련하였을 경우 해당지침을 우선하여 적용할 수 있다.

제3조(연구개발과제 보안과제 분류) ① 중앙행정기관의 장은 법 제21조제2항에 따라 소관 연구개발과제를 보안과제로 지정ㆍ해제하는 등 분류가 필요할 때에는 검토를 위하여 해당 연구개발 분야 및 보안업무 전문가 등으로 구성된 보안과제분류위원회를 설치하여 운영하여야 한다. 단, 다른 법령에 의한 절차를 통해 보안과제로 분류될 수 있는 경우는 보안과제분류위원회의 검토를 생략한다.

② 연구개발기관의 장은 수행 예정이거나 수행하고 있는 보안과제에 대하여 재분류가 필요하다고 판단하는 경우에는 보안과제분류위원회에 보안과제 여부를 재분류해줄 것을 요청할 수 있다.

- 1 -

③ 연구개발기관의 장은 수행 예정이거나 수행하고 있는 연구개발과제에 대하여 보안과제로 분류가 필요하다고 판단되는 경우에 보안과제분류위원회에 보안과제로 분류해 줄 것을 요청할 수 있다

④ 중앙행정기관의 장은 소관 연구개발과제를 보안과제로 분류하거나 해제한 경우에 다음 각 호의 사항을 포함하는 관련 정보를 국가정보원장에게 7일 이내에 통보한다.

1. 보안과제명

2. 보안과제 수행 연구개발기관 및 연구책임자

3. 보안과제 분류 또는 해제 사유

제4조(연구개발기관의 보안대책 수립 등) 연구개발기관의 장은 법 제21조제1항 및 영 제44조에 따른 보안대책(이하 “연구기관보안대책”이라 한다.)으로써 별표1에 따른 사항을 포함하는 자체규정을 마련하여야 한다. 다만, 공동연구개발기관이 자체 보안대책을 마련하기 어려운 경우 또는 주관연구기관과 공동연구개발기관의 보안대책을 통일성 있게 운영할 필요가 있는 경우에는 주관연구개발기관의 보안대책에 공동연구개발기관이 따르도록 한다.

제5조(연구보안책임자 지정 등) ① 연구개발기관의 장은 소속 임직원 중에서 제4조에 따른 연구기관보안대책에 따른 업무를 총괄하는 연구보안책임자를 지정하여야 한다.

② 그 밖에 연구보안책임자의 지정절차ㆍ업무 등에 관한 사항은 제4조에 따른 연구기관보안대책으로 정한다.

- 2 -

제6조(연구보안심의회의 구성 및 운영) ① 연구개발기관의 장은 다음 각 호의 사항을 심의하기 위하여 연구개발기관 내에 연구보안심의회를 구성ㆍ운영하여야 한다.

1. 연구기관보안대책의 수립ㆍ변경(연구보안에 관한 자체규정의 제ㆍ개정을 말한다)에 관한 사항

2. 법 제21조제3항에 따른 보안관리 조치를 위한 계획에 관한 사항

3. 법 제21조제3항에 따른 보안관리 조치에 관한 자체점검 결과 및 자체점검 결과에 따른 조치방안에 관한 사항

4. 제8조에 따른 외국 정부 등과의 접촉 관리에 관한 사항

5. 제9조에 따른 외국 연구자 등의 참여에 관한 사항

6. 보안사고에 대한 조치계획 및 재발방지 대책에 관한 사항

7. 연구기관보안대책을 위반한 연구자에 대한 징계에 관한 사항

8. 보안과제 참여 연구자에 대한 보안수당 지급에 관한 사항

9. 그 밖에 연구개발기관의 장이 보안과 관련하여 심의가 필요하다고 인정하는 사항

② 그 밖에 연구보안심의회의 구성ㆍ운영에 관한 사항은 연구기관보안대책으로 정한다.

제7조(보안교육 및 보안서약) ① 연구개발기관의 장은 보안과제를 수행할 예정이거나 수행하고 있는 연구자에 대하여 다음 각 호의 사항을 포함하는 보안교육을 실시하여야 한다.

1. 이 지침에 따른 연구자의 의무 사항

- 3 -

2. 연구기관보안대책에 따른 연구자의 의무 사항

3. 보안과제 수행에 따른 우대조치에 관한 사항

4. 의무사항을 위반할 경우에 법, 「산업기술의 유출방지 및 보호에 관한 법률」, 「대외무역법」에 따라 받을 수 있는 불이익에 관한 사항

5. 그 밖에 보안사고의 예방을 위해 필요한 사항

② 제1항에 따른 교육을 받은 연구자는 연구개발기관의 장에게 보안서약서를 제출하여야 한다.

③ 제2항에 따른 보안서약서의 서식은 별지 제1호 서식을 따르며, 필요한 경우 연구개발기관의 장이 그 내용을 준용하여 정할 수 있다.

④ 연구개발기관의 장은 필요한 경우 보안과제를 수행하지 않는 소속 연구자와 기타 소속 직원에 대해서도 보안교육을 실시할 수 있으며, 특별히 보안상 필요한 경우 서약서를 제출하도록 할 수 있다.

제8조(외국 정부 등과의 접촉 관리 등) ①보안과제를 수행하고 있거나 수행한지 3년이 지나지 아니한 연구자가 외국에 소재한 정부ㆍ기관ㆍ단체 또는 외국인 등(본사와 지사의 소재가 다를 때에는 본사 위치를 기준으로 하는 것을 원칙으로 한다)과 보안과제와 관련하여 접촉(연구자가 상호작용하는 경우 또는 특정하여 유의미한 정도로 접촉이 반복되는 경우를 말한다.) 하는 경우에는 해당 접촉일로부터 10일 이내에 접촉 일시ㆍ장소ㆍ방법ㆍ내용 등에 관한 사항을 현재 소속된 연구개발기관의 장(퇴직으로 소속기관이 없거나 법 제2조제3호에 따른 연구개발기관이 아닌 기관으로 이직하는 경우에는 마지막으로 소속되었던 

- 4 -

연구개발기관의 장)에게 보고하여야 한다.

② 보안과제를 수행하고 있거나 수행한지 3년이 지나지 아니한 연구자가 외국 정부ㆍ기관ㆍ단체 등의 지원을 받아 연구개발을 수행하는 경우 사전에 연구보안심의회의 심의를 거쳐 현재 연구자가 소속된 연구개발기관의 장(퇴직으로 소속기관이 없거나 법 제2조제3호에 따른 연구개발기관이 아닌 기관으로 이직하는 경우에는 마지막으로 소속되었던 연구개발기관의 장)의 사전 승인을 받아야 한다.

③ 연구개발기관의 장은 제1항에 따라 보고받은 사항, 제2항에 따라 사전 승인한 사항을 보고 및 승인 후 1월 이내에 중앙행정기관의 장에 보고하고 국가정보원장에 통보한다.

제9조(외국 연구자 등의 보안과제 참여 등)  ① 보안과제에의 대한민국 국적을 가지지 아니한 외국인의 참여는 내국인을 통한 목적달성이 어려울 경우 보충적으로 인정하는 것을  원칙으로 한다. 

② 연구개발기관의 장은 보안과제에 관하여 외국 정부ㆍ기관ㆍ단체 등과 공동연구를 수행하려거나 이들에게 연구의 일부를 수행하게 하려는 경우 중앙행정기관의 장의 사전 승인을 얻어야 한다.

③ 연구개발기관의 장은 보안과제에 대한 외국인의 참여를 승인하려할 경우 제6조에 따른 연구보안심의회의 심의를 거쳐야 한다. 이 때 연구보안심의회는 외국인의 보안과제에의 기여 가능성, 기술격차 등을 고려할 때 향후 외국에의 기술 유출 가능성 등을 종합적으로 검토하여야 한다.

- 5 -

④ 연구개발기관의 장은 제2항에 따라 중앙행정기관의 장의 사전승인을 얻었거나 제3항에 따라 보안과제에 외국인을 참여시킨 경우 해당 사항이 발생하고 1월 이내에 해당 보안과제에서 외국 연구개발기관 등과 공동연구 등을 위한 협약사항 또는 이에 준하는 사항, 또한 참여 외국인의 신상 및 과제 참여 범위, 과제 관련 정보 접근 권한의 범위 등의 정보를 중앙행정기관의 장에 보고하고 국가정보원장에게 통보하여야 한다.

제10조(보안등급 표기) ① 연구개발기관의 장은 보안과제 수행과정에서 산출되는 문서와 다양한 형식의 자료 및 데이터에 대하여 추가적인 보안이 필요한지 여부를 판단하고, 추가적인 보안이 필요한 경우 보안등급을 구분하여 표기하여야 한다.

② 연구개발기관의 장은 연구기관보안대책에 따라 보안등급의 구분을 자율적으로 정할 수 있다. 다만, 보안등급을 정하기 어려울 경우 다음 각 호와 같은 구분을 준용할 수 있다.

1. Ⅰ급 : 유출될 경우 대한민국과 외교관계가 단절되고 전쟁을 일으키며, 국가의 방위계획ㆍ정보활동 및 국가방위에 반드시 필요한 과학과 기술의 개발을 위태롭게 하는 등의 우려가 있는 보안과제의 핵심적인 정보

2. Ⅱ급 : 유출될 경우 국가안전보장 및 국가경쟁력 확보에 막대한 지장을 끼칠 우려가 있는 보안과제의 핵심적인 정보로 문서나 전자매체 유출이 과제 중요사항의 직접적 유출로 이어질 수 있는 경우

- 6 -

3. Ⅲ급: 유출될 경우 국가안전보장 및 국가 경쟁력 확보에 해를 끼칠 우려가 있는 보안과제의 핵심적인 정보로 문서나 전자매체 유출이 과제 중요사항의 직접적 또는 간접적인 유출로 이어질 수 있는 경우

③ 제1항에 따라 보호가 필요한 문서의 종류와 보안등급에 관한 사항은 연구기관보안대책으로 정한다.

제11조(보안과제 수행에 따른 우대조치) 연구개발기관의 장은 보안과제를 수행하는 연구자에 대하여 보안수당 지급 등 우대조치를 할 수 있다.

제12조(보안관리 실태 점검) ① 영 제47조제1항에 따라 중앙행정기관의 장이 수립하는 보안관리 실태 점검계획에 포함되어야 하는 사항은 다음 각 호와 같다.

1. 연구기관보안대책의 수립ㆍ시행 실태 점검에 관한 사항

2. 이 지침에 따른 의무사항의 이행 실태 점검에 관한 사항

3. 연구기관보안대책에 따른 의무사항의 이행 실태 점검에 관한 사항

4. 보안관리 실태 점검의 시기ㆍ방법에 관한 사항

② 중앙행정기관의 장은 법 제21조제4항 및 영 제47조 따른 보안관리 실태 점검을 실시할 때에 국가정보원장과 합동으로 실시한다.

제13조(보안사고에 대한 조치) ① 연구개발기관의 장은 영 제48조제1항 및 제2항에 따라 중앙행정기관의 장에게 보안사고에 관한 사항을 보고하고 국가정보원장에 통보한다.

② 중앙행정기관의 장은 영 제48조제3항에 따른 보안사고 경위 조사

- 7 -

를 국가정보원과 합동으로 실시한다. 이 경우 조사를 실시하기 전에 다음 각 호의 사항을 국가정보원장과 협의한다.

1. 조사방식(서면 또는 현장) 및 조사시기

2. 조사범위 및 조사방법

3. 조사반 구성

4. 그 밖에 조사에 필요한 사항

제14조(연구개발결과에 따른 보안과제 분류) ① 중앙행정기관의 장은 연구개발결과에 따라 보안 과제 여부가 달라질 수 있는 경우 법 제12조제2항에 따른 최종평가를 할 때에 연구개발과제평가단으로 하여금 연구개발결과를 고려한 보안과제 분류의 적정성을 검토하게 할 수 있다.

② 제1항에 따라 연구개발결과를 고려했을 때 보안과제로의 분류가 부적정한 것으로 판단된 경우, 해당 보안과제는 보안과제분류위원회의 검토 없이 보안과제에서 해제된 것으로 보며, 제3조제4항에 따라 보고 및 통보한다.

제15조(보안과제 연구개발성과의 귀속 및 실시) ① 보안과제를 통해 창출된 연구개발성과를 협약에 따라 소유하고 있는 기관은 그 성과의 소유권을 특별한 사정이 없는 한 이전하지 않는 것을 원칙으로 한다.

② 제1항에도 불구하고 보안과제로부터 창출된 연구개발성과의 소유권을 국내의 다른 기관으로 이전할 필요성이 있을 때에는 이전받는 기관이 제3조부터 제15조까지를 적용받도록 계약을 체결하여야 하며, 이 

- 8 -

때 제3조부터 제15조의 ‘연구개발기관’은 성과를 이전받는 기관으로 본다. 다만 외국으로의 소유권 이전이 불가피할 경우에는 이에 대하여 중앙행정기관의 장의 사전 승인을 얻어야 한다.

③ 보안과제의 연구개발성과에 대하여 다른 기관과 실시계약을 체결하려는 경우 ‘제3자 기술 실시(사용)권 금지협약’을 체결하여야 하며, 외국기업 또는 외국으로 수출하고자 할 경우에는 중앙행정기관의 장의 사전 승인을 얻어야 한다.

제16조(비공개 연구개발성과에의 준용) 이 대책은 영 제44조제1항제1호의「산업기술의 유출방지 및 보호에 관한 법률」제2조제1호에 따른 산업기술과 관련된 비공개 연구성과에 대해서도 준용하여 적용한다. 단, 제3조 및 제11조는 적용하지 않으며, 연구개발기관의 장은 중앙행정기관의 장에 비공개를 요청할 때 과제의 특성에 따라 제8조와 제9조, 제13조, 제15조의 적용을 완화하거나 제외하도록 요청할 수 있다.

제17조 (권한의 대행) ①중앙행정기관의 장은 보안과제의 관리가 통합적으로 이루어질 수 있도록 전문기관의 부재 또는 전문기관에 관련 보안 취급이 불가능한 경우 등 특별한 사유가 없는 한 제3조, 제8조 및 제9조, 제14조의 사무를 보안관리의 전문성을 높일 수 있도록 당해 과제의 전문기관이 대행하도록 하며, 제12조, 제13조, 제15조까지의 사무는 필요시 전문기관이 대행하도록 할 수 있다.

② 법 제4조에 해당하는 사업의 경우 특별한 사정이 없는 한 해당 연구개발기관이 전문기관으로서 제3조의 사무를 대행하는 것으로 본다.

- 9 -

③ 중앙행정기관의 장은 제1항에 따라 전문기관이 대행하는 업무의 수행에 대하여 평가를 실시할 수 있다.

④ 제1항과 제2항에 따라 보안과제의 관리를 전문기관이 대행하고 있는 경우 보안과제분류위원회는 전문기관에 두어 운영한다.

제18조 (재검토기한) 중앙행정기관의 장은 이 고시에 대하여 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 2022년 1월 1일 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.


부칙 


제1조(시행일) 이 지침은 고시한 날부터 시행한다. 

- 10 -

[별표]

연구기관보안대책에 포함되어야 하는 사항(제4조 관련)

1. 보안관리 체계

가. 연구보안심의회의 구성ㆍ운영 방법, 심의 내용 등에 관한 사항

나. 제16조 비공개연구성과에 보안대책 (보안대책 적용의 범위)

다. 연구개발기관 내 보안관리 업무의 종합계획ㆍ관리를 담당하는 연구보안책임자 지정, 연구보안책임자의 업무 등에 관한 사항

라. 보안 우수자 및 보안 관련 규정 위반자에 대한 상벌 기준

마. 영 제48조에 따른 보안사고 발생 시 대응ㆍ조치 절차

바. 소속 직원의 보안교육 이수 의무에 관한 사항

. 연구기관보안대책에 따른 연구자의 의무, 우대사항 및 의무사항 위반시 「산업기술의 유출방지 및 보호에 관한 법률」, 「대외무역법」에 따라 받을 수 있는 불이익에 관한 사항과 연구성과에 대한 「산업기술의 유출방지 및 보호에 관한 법률」상 핵심기술 판정 필요성과 후속조치 등

사. 연구개발기관 및 연구원에 대한 정기 · 수시 보안점검 실시에 대한 사항


2. 보안과제 참여연구자(연구책임자 및 외국인을 포함한다) 관리

가. 참여연구자의 연구기관보안대책 위반 시 징계에 관한 사항

나. 퇴직하였거나 퇴직 예정인 자가 반출 또는 반출 예정인 자료에 대한 보안성 검토, 회수, 전산망 접속 차단 등의 조치에 관한 사항

다. 참여연구자의 국외 출장 시 사전 보안교육 및 귀국보고(출장기간에 접촉한 사람 및 협의 내용 등을 포함한다) 실시

라. 보안과제를 수행하거나 수행한 적이 있는 연구자의 외국 정부·기관·단체 접촉시 보고 및 외국 정부·기관·단체와의 연구 승인 등에 관련된 절차 및 형식 등 제반사항


3. 연구개발내용 및 연구개발성과의 보고

가. 보안등급 표기가 필요한 문서 및 데이터의 종류

나. 연구개발성과의 대외 공개 및 제공 시 사전신고 등 확인절차


4. 연구시설 관리

가. 보안과제 수행에 사용된 노트북, 외장형 하드디스크 드라이브 등 정보통신매체에 대한 출입 절차

나. 연구개발기관 외곽, 주요 시설물에 폐쇄회로 텔레비전, 침입감지센터 등 장비 등의 설치ㆍ운용

다. 연구개발과제와 관련된 핵심기술 및 정보를 보관하는 전산실 및 중요시설물에 대한 보안관리 조치

라. 연구실 및 연구개발기관에 대한 출입권한 차등화의 방법ㆍ기준, 출입현황 관리 방법 등에 관한 사항

마. 외부인 및 외부입주기관(벤처기업 포함)의 보안과제 관련 연구시설의 내부 출입통제 조치에 관련된 사항 

바. 화재, 홍수, 재난, 재해 등 비상시 대응계획 수립에 관련된 사항


5. 정보통신망 관리

가. 보안사고 발생을 예방하기 위한 다음 사항을 포함하는 일반적인 정보통신망 관리 조치

1) 정보통신망 보호를 위한 방화벽 시스템, 침입탐지시스템 등 각종 보안장비의 설치ㆍ운영

2) 연구개발기관 외부에서 내부망 접속 시 사용자 인증으로 정보시스템 접근 제한 조치

3) 업무용 컴퓨터 대상 보안 소프트웨어, 보안패치 등 설치 및 업데이트

4) 정보시스템 사용기록(최소 6개월 이상) 보관

나. 보안과제에 대한 다음 사항을 포함하는 강화된 정보통신망 관리 조치

1) 메신저, 인터넷 저장소, 외부 이메일 등 자료 유출 가능 경로 접속차단

2) 내부망의 물리적 또는 논리적(방화벽 등) 분리

3) 정보통신 매체 및 인터넷 등을 이용한 외부 자료 전송 시 사전신고 등 보안조치

4) 비인가 정보통신매체 사용 금지에 관한 사항

5) 정보통신매체 폐기 및 외부 이관시 보안조치에 관련된 사항

6) 직책 및 업무에 따른 각종 전자자료에 대한 차등적 접근권한 부여


※ 이외 연구개발기관 및 연구과제의 특성을 고려하여 연구개발기관이 필요시 추가적인 보안대책을 수립한다.

- 11 -

■ [별지 제1호 서식]

(1쪽 중 1쪽)

보안서약서

보안서약서 (연구개발기관용) -  예시


본인은 “____________”과제 개발의 일원으로 참여하면서 다음 사항을 준수할 것을 서약합니다.


1. 본 과제를 수행하는 과정에서 알 수 있었던 비밀에 대해 과제 수행 중은 물론 종료 후에도 연구개발기관장 또는 전문기관장의 허락 없이 자신 또는 제3자를 위하여 사용하지 않는다.


2. 본 과제 추진성과가 적법하게 공개된 경우라고 하여도 미공개 부문에 대해서는 제1항에서와 같이 반드시 비밀유지 의무를 부담한다.


3. 본 과제가 완료되거나 과제를 수행할 수 없게 된 경우, 그 시점에서 본인이 보유하고 있는 기밀을 포함한 관련 자료를 즉시 연구책임자에게 반납하며 제1항 및 제2항에서와 같이 비밀유지 의무를 부담한다.


4. 또한 퇴직시 본인은 직무상 지득한 핵심기술 및 정보, 과학기술정보 관련 제반 비밀사항 및 중요 기술비밀을 퇴직 후에도 일체 누설하지 않는다. 


5. 상기 사항을 위반할 경우 본인은 00부 연구개발사업의 참여제한 및 관련 법률에 따른 민・형사상 책임을 질 것을 서약합니다. 


서약인  성 명 :              (인)


20  .  .   .


○○○ 귀하

210mm×297mm[(백상지(80g/m2) 또는 중질지(80g/m2)

- 12 -