영업비밀보호를 위한 기업의 자세
\r\n
[시큐리티월드=구태언 법무법인 태크앤로 대표변호사] 우리나라의 기업들은 영업비밀을 얼마나 ‘잘’ 관리하고 있을까? 영업비밀 침해자는 영업비밀 유출 소송에서 ‘영업비밀 관리성’을 주된 무기로 피해 회사를 공격한다.
\r\n\r\n\r\n\r\n| \r\n .jpg)
|
형사 법원은 피해 회사가 영업비밀을 ‘잘’ 관리하지 않았다는 이유로 해당 정보를 영업비밀로 인정하지 않는 경우가 비일비재하다. 그 결과 정당한 기술 개발자인 피해 회사가 예상치 못한 패배를 맛보는 경우가 많다. 다음은 중소기업이 얼마나 영업비밀을 부실하게 관리했는지 잘 보여주는 사례다.
\r\n
\r\n
A 회사는 삼성, LG 등의 국내 대기업이 제품 개발에 활용하는 장비를 제공하는 업체다. 이에 A 회사는 국내에 판매한 제품을 수리, 보수하기 위해 한국 내 자회사(이하 한국지사)를 두고 있다. A 회사는 한국지사 직원들에게 보안지침을 상세하게 수립해 알리고, 보안교육을 실시하는 등 영업비밀 보호를 위해 많은 노력을 기울였다.
한국지사는 본사의 지침에 따라 회사 내 내부관리 계획, 취업 규칙, 보안 규정 등을 갖추고, 직원들에게 영업비밀보호에 대한 각서를 받았다. 그러나 최근, 한국지사 직원 갑이 퇴사하면서 약 450GB에 해당하는 회사 자료를 유출하고, 이를 을과 병에게 전달했다는 사실이 드러났다. 이에 검찰은 갑에게 한국지사에 대한 업무상 배임 및 영업비밀 부정취득 혐의를, 을·병에게 영업비밀 부정취득 혐의를 이유로 공소를 제기했다.
\r\n
한국지사는 형사법원에서 회사의 영업비밀을 보호하기 위해 많은 조치를 취하고 있다고 주장하며, 직원들의 각서, 내부관리 계획, 취업 규칙, 영업비밀을 분류하는 기준 등을 제시했다. 그러나 피고인들이 알고 있는 한국지사의 실정은 전혀 달랐다.
\r\n
첫째, 영업비밀 관리 규정을 제정하고 시행했는지 여부와 관련해 한국지사가 게재한 내부관리 계획은 실제로 ‘제대로’ 운영된 바 없었다. 한국지사의 내부관리 계획에 따르면 모든 직원들은 암호화된 USB만을 사용할 수 있었으나 실제 직원들은 개인적으로 구입한 USB를 무작위로 사용하고 있었고, 회사도 이를 묵인했다.
\r\n
둘째, 영업비밀을 대외비, 극비 등으로 등급화해 분류·관리하고 이를 표시했는지 여부와 관련해 한국지사는 기준을 적립해 뒀다. 그러나 이를 준수하지는 않았다. 즉 회사 내부 자료를 중요도에 따라 등급을 분류하고 관리하겠다는 기준을 정립해뒀으나 이를 전혀 준수하지 않았고, 해당 자료에 대외비나 기밀자료라는 표시를 하지도 않았다. 그 결과 한국지사의 자료는 영업상 주요 자산으로 볼 수 있는 자료들과 그렇지 않은 자료들이 혼재돼 있었다.
\r\n
셋째, 접근제한과 관련해 한국지사는 회사 내 모든 자료를 하나의 서버에 보관했고, 직원들은 아이디와 패스워드를 입력하지 않고서도 서버에 접속할 수 있었다. 뿐만 아니라 업무의 내용과 관계없는 자료에도 모두 접근할 수 있었다. 그 결과 영업사원이었던 갑은 기술팀의 자료인 도면, 사양서 등에 접근하고 이를 유출할 수 있었다. 이외에도 한국지사는 인턴이나 계약직에게도 동일한 접근 권한을 부여했다.
이러한 측면은 한국지사가 얼마나 소홀히 영업비밀을 관리했는지를 보여준다. 한국지사는 갑으로부터 자료를 전달받은 병이 한국지사 직원들에게 말하기 전까지는 자료가 유출된 사실을 파악하지 못했다. 또 영업비밀이라고 주장하는 자료 보관 서버의 접속·복제 관련 로그기록도 갖고 있지 않았다.
이에 과거 몇 명의 직원들이 자료를 유출했는지 조차 파악하지 못했다. 결국 형사법원은 한국지사가 영업비밀을 유지하고 이를 관리하기 위해 충분한 노력을 기울이지 않았다고 판단하고, 갑·을·병의 영업비밀 부정취득 혐의에 대해서도 무죄를 선고했다.
\r\n
\r\n
기업이 영업비밀을 보호 받기 위한 조건
\r\n
이미 앞에서 언급한 바와 같이 국내 기업들 대부분은 영업비밀을 보호해야 한다는 인식을 가지고 있다. 또한 실제로 어떻게 영업비밀 보호체계를 갖추어야 하는지에 대해서도 관심이 많다. 그러나 기업이 자신들의 영업비밀 정보를 인정받고 보호받기 위해서는 다음과 같은 조건이 요구된다.
첫째, 그 정보가 비밀이라고 인식될 수 있는 표시를 하거나 고지를 하고 있는가(제도적 장치), 둘째, 그 정보에 접근할 수 있는 대상자와 접근 방법을 제한하고 있는가(접근통제), 셋째, 그 정보에 접근한 자에게 비밀 준수 의무를 부과했는지(인적 자산 관리 조치) 등이 바로 그것이다. 좀 더 이번 판례와 연관 지어 앞의 조건들을 살펴보자.
\r\n
첫째, 형사 법원은 제도적 장치와 관련해 영업비밀 관리규정이 제정돼 있는지, 영업비밀이 분류되어 있는지, 이러한 분류에 따라 영업비밀이 지정되거나 표시되고 있는지 등을 중점적으로 제시하고 있다.
둘째, 형사 법원은 접근통제와 관련해 기업의 영업비밀을 별도로 보관하면서 접근 권한자를 제한하고 있는지, 영업비밀의 반출이나 복제 등을 제한하고 있는지, 전자매체에 대한 패스워드를 설정하거나 암호화를 하고 있는지도 봤다.
마지막으로, 형사 법원은 직원들에 대한 인적 자산 관리 조치로 입·퇴사 시 영업비밀 준수 및 경업 금지 서약을 받고 있는지, 보안교육을 하고 있는지, 퇴사자에게 영업비밀 관련 서류나 PC 등 업무 관련 자료를 반환 받고 있는지 등을 중요하게 봤다.
\r\n
보통 기업들은 위와 같이 판례에서 제시하는 다양한 영업비밀 관리성 관련 요소들을 갖추기 위해 상당한 비용을 들이고 있다. 직원들에게 영업비밀보호 서약서나 각서를 받고, 영업비밀 관리를 위한 내부 계획을 수립하며, 취업 규칙, 보안 규정 등 다양한 규정을 만들고 있다.
그러나 위 한국지사의 사례에서 볼 수 있듯 단순히 위와 같은 규정을 만들고, 각서를 받는 일시적인 노력만으로는 영업비밀 관리를 충분히 했다고 보기 어렵다. 단순히 영업비밀 관리 규정만 만들어놓고 ‘우리 회사가 영업비밀보호를 위해 충분한 조치를 갖추고 있다’고 생각해, 영업비밀이 유출되고 있는지 조차 인식하지 못한다면 어떻게 그 기업이 ‘영업비밀보호를 위해 상당한 노력을 기울였다’고 볼 수 있을까?
\r\n
기업은 자신들이 스스로 구축한 영업비밀 관리체계를 맹신하는 순간 오히려 보안의식이 해이해지고, 보안 조치들이 무력화되면서 보안의 형해화 상황이 초래된다. 이러한 상황에서라면 기업은 영업비밀에 대한 법률적인 보호도 받기 어려워진다.
\r\n\r\n\r\n\r\n| \r\n .jpg)
|
만약 기업이 정말로 영업비밀을 보호하고자 하는 인식과 의지가 있다면, 언제나 긴장을 늦추지 말고 상시적인 보안관리를 유지할 필요가 있다. 즉 끊임없이 스스로를 가다듬고 점검하는 노력을 멈추지 않는 태도야말로 보안을 유지하고, 영업비밀 보호를 위한 가장 필요한 모습이다.
\r\n
[글_구태언 법무법인 태크앤로 대표변호사(taeeon.koo@teknlaw.com)]
\r\n
[월간 시큐리티월드 통권 219호 (sw@infothe.com)]
\r\n
\r\n
<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>
