우리나라 국가 연구개발(R&D)에 투자한 비용의 60%(약 60조)가 영업비밀 유출로 빠져나가고 있다는 신문기사는 충격적이었다. 미국 역시 2021년 3월 전자 메일 및 캘린더의 플랫폼인 마이크로소프트 익스체인지(Microsoft Exchange)에 대한 해킹으로 MS와 전 세계 25만 명의 사용자, 그 외에도 지방 및 주정부, 기업, 로펌 등이 관리하는 지적재산권의 세부 정보가 노출되는 등의 피해가 발생했다. 지적재산권의 세부 정보는 영업비밀로 취급되는 사항도 있는 만큼 기업은 물론 국가적 비용 지출로까지 이어질 수 있는 심각한 일이었다. 전통적인 지적재산권(특허·상표·저작)과 달리 외부에 공표되지 않아 실질적·잠재적·경제적 가치가 더 우월하다는 평가를 받는 영업비밀이 국가의 성장 동력과 어떠한 관계에 있기에 유출시 국가적 비용까지 발생하는 것일까?
이번 보고서 리뷰에서는 침해에 따른 민형사상 조치 등에도 불구하고 한 번의 사고만으로도 사실상 피해회복이 불가능한 영업비밀 유출에 따른 사회경제적 비용에 대비하기 위한 우리의 노력으로써 영업비밀보호 현황에 대해 살펴보도록 하겠다.
1국가적 차원에서의 영업비밀보호 검토
우리나라의 경우 영업비밀은 「부정경쟁방지 및 영업비밀보호에 관한 법률」에서 규율하고 있으며, 보호를 위한 몇 가지 특성 중 비밀성의 입증이 가장 중요하다. 영업비밀은 조직의 혁신과 성장을 차별화 한다는 점에서 유출 자체만으로도 천문학적인 금전적 손해를 불러올 수 있다. 따라서 기업은 유출에 대비하기 위해 스스로 엄격한 관리를 유지해야 한다. 그런데 관리의 필요성이 역설되는 더 중요한 이유가 있는데, 그것은 영업비밀 유출로 국제관계와 지정학적 시각에서 기업의 사유재산 개념을 넘어서는 훨씬 더 심각한 결과가 발생할 수 있기 때문이다. 다시 말해 영업비밀 유출은 국가가 보유한 사회·경제·정치·군사적 자산을 망라한 모든 자산의 탈취를 의미한다는 말로 이해할 수 있다. 실제로 정부의 사이버 인프라(ex, 에너지 공급)를 민간 기관에서 관리·운용하는 경우와 같이 민간이 운용하는 중요한 정보자원을 단순히 기업의 사유재산으로 치부하기에는 유출로 인한 피해 규모와 각 영역에 미치는 파장이 상당하다. 이러한 이유로 영업비밀보호를 위한 장려책으로 국가적 차원에서 관리가 필요하다는 논의가 제기되고 있다. 이렇게 함으로써 정부는 국가 경제와 세계 경제라는 측면에서 국가안보와 기술혁신 추진이라는 두 가지 정책을 모두 실현할 수 있다.
2디지털시대 영업비밀의 취약성, 사이버보안과의 연계
기업에서는 전·현직 임직원들에 대하여 업무 중 취득한 정보 등을 경쟁업체에 유출하지 못하도록 비공개조항에 대한 비밀유지의무 각서 작성 및 교육, 이와 더불어 퇴사 후 일정기간 동안 동종 또는 경쟁업체에 취업을 제한하는 내용의 전직금지 각서를 작성하게 하는 방법을 취하고 있다(다만, 헌법상 보장된 근로자의 직업선택의 자유와 근로권 등을 과도하게 제한하여 민법 제103조 위반일 경우는 예외로 함). 그럼에도 불구하고 불평등한 대우로 인한 불만과 고액 연봉의 스카우트 제의 등으로 이직을 결정하면서 영업비밀이 유출되고 있다. 이 과정에서 IT 기기 및 정보시스템이 유출의 주요한 통로로 활용되고 있다. 한편 IT 기기와 정보시스템에 영향을 받는 대형 인프라 시설의 경우 전체 링크 가운데 한 부분이 보안에 취약해도 영업비밀에 대한 백도어 액세스(back-door access)를 생성하여 전체 공급망을 위험에 빠뜨릴 수 있는데, 이점이 바로 영업비밀보호와 사이버보안이 연계되어야 하는 이유이다. 이러한 이유로 세계최고 기술선진국인 미국 역시 영업비밀을 사이버보안과 연계시키며 사이버공격과 이로 인한 영업비밀 유출을 최소화하기 위해 가능한 모든 역량을 쏟아 붓고 있다. 2021년 5월 미국 동부 지역 연료의 45%를 담당하고 있는 송유관에 대한 랜섬웨어 공격으로 이 지역의 연료공급에 차질을 빚은 것은 물론 파일 유출 및 암호화 피해가 발생한 사건은 영업비밀과 사이버보안에 대한 연계의 필요성을 다시 한 번 확인시킨 사례라고 할 것이다.
3미국의 영업비밀보호 현황
전 세계적으로 EU가 GDPR 제정으로 개인정보보호 영역을 주도한다면, 미국의 영업비밀보호 관련 입법례는 EU 등 타 국가에 모범사례로 여겨지고 있다. 영업비밀 등 미국의 첨단기술 유출방지 관련법으로는 컴퓨터사기 및 남용법(Computer Fraud and Abuse Act), 경제스파이법(Economic Espionage Act), 사이버 정보공유 및 보호법(Cyber Intelligence Sharing and Protection Act) 등이 있는데, 주로 형사처벌의 강화에 방점이 찍혀 있다. 이는 국가 형벌권이 잠재적 유출자에 대한 사전 억제력과 사후 구제책 모두에게 효과적이라는 판단으로 비롯된 것이다. 한편, 지난 오바마 정부에서는 국가안보, 외교 또는 경제에 대한 심각한 위협으로 간주되는 해외로부터 시작된 사이버공격의 경우 연루된 개인, 단체, 국가에 대한 경제제재를 승인하는 행정명령을 공표한바 있다. 이는 영업비밀 유출 대응과 관련하여 중대한 정책 변경이 있음을 의미하는 것으로, 영업비밀은 국가의 안전보장과 국민경제 발전을 위해 해외 유출을 예방하고 관리해야 하는 공공재로서의 성격을 갖는 것으로 이해할 수 있다. 그러나 미국 내에서는 강력한 형사적 입법과 정부의 노력에도 불구하고 영업비밀보호의 한계를 지적하는 비판적 시각이 우세하다. 영업비밀 유출을 국부 유출로 바라보는 시각에서는 형사처벌과 더불어 경제제재 강화와 같은 다양한 법적 구제에도 불구하고 이들 모두 침해에 대한 본질적 해결 방안이 되지 못한다는 한계에 직면하게 된 것이다. 이런 한계를 극복하고자 능동적 사이버 방어행위로써, 사이버 공간에서 디지털 자구행위(Digital self-help)1)를 법제화하는 방안과 영업비밀을 기업의 재화에서 공공의 재화(public goods)로 보는 전환적 시각 그리고 기업의 자발적 대응에서 의무적 조치로 하는 방안 등이 미국 내에서 거론되고 있다.
- 김성용, “사이버 공간에서 디지털 자구행위(Digital self-help) 법제도화를 위한 해킹백(Hacking Back)에 관한 소고”, 『법학논총』 제34권 제1호(2021), “능동적 사이버 방어 행위”는 현실세계에서는 상대 공격(이를테면 폭행에 대한 정당방위 등)에 대한 자위권적 대응으로 자구행위를 인정하지만, 사이버 공간에서는 이를 인정하고 있지 않기 때문에 나온 이론이다. 즉 진화하는 해킹기술과 그로 인한 피해에 적극적으로 대응해야할 필요성이 제기되면서 공격자(해커)를 식별하고 도난당한 데이터를 찾아오거나 파괴하는 등의 적극적 대응을 말한다.
4우리나라에 주는 시사점
과거 우리나라 전국 각급 법원에서 선고된 영업비밀 관련 사건을 분석해보면 최소한의 안전장치도 하지 않아 유출을 막지 못한 경우도 상당했다. 즉 합리적인 노력(비밀성 유지를 위한 보안조치)을 하였더라면 상당부분 예방할 수 있었던 안타까운 사건들이 많았다는 이야기이다. 앞서 미국의 형벌강화 입법의 경우와 같이 국가 형벌권의 작동으로 영업비밀 유출을 어느 정도까지는 억지할 수 있지만, 이것이 근본적인 해결책은 될 수 없다. 오히려 법경제학적 시각으로 보면 유출에 대한 형사처벌 강화는 형벌집행에 따른 비용을 증가시키므로 효과적이지 못하다. 잠재적 유출사범에 대한 처벌보다는 영업비밀 보유자(기업 등)로 하여금 보안조치에 더욱 만전을 기하도록 하는 것이 더 유익하다. 자본주의 기술고도사회로 발전함에 따라 영업비밀과 침해가능성은 비례적으로 증가 할 것이다. 그런데 많은 예산의 투입에도 불구하고 영업비밀 유출이 지속된다면 글로벌 기업도 혁신기술개발에 소극적일 수밖에 없을 것이며, 그 결과 보호기간 종료 후 기술을 공개해야 하는 특허로 옮겨갈 가능성도 배제하지 못할 것이다. 주지하다시피 특허보다는 존속기간의 만료가 없이 사실상 영구적인 영업비밀의 경우가 경쟁회사 간 우위를 점하기에 더 유리하다. 따라서 사후적인 처벌보다는 영업비밀 침해 방지를 위한 컴플라이언스 체계 구축을 통해 사전 예방할 수 있는 방안을 확고히 하여 오랫동안 기업 자체의 비밀로 유지하는 방안을 모색해야 할 때이다. 미국 역시 법적인 사후대응에 한계를 인식하고 영업비밀을 공공재로 바라보며 예방적 대응으로 보호의 방향을 전환하고 있음을 상기해야 할 것이다.
