보안사고, 그것이 알고싶다 ④현 직원&퇴직자에 의한 정보 유출

보안사고, 그것이 알고싶다’를 통해 유출 사례와 영업비밀 관리 방법을 소개해 드립니다.

이번 시간에는 ‘현 직원 & 퇴직자 공동 범행에 의한 정보유출’ 사례를 살펴보고, 주요 쟁점을 살펴보도록 하겠습니다.

과연 다양한 보안 솔루션을 도입하면 보안사고가 100% 일어나지 않는다고 말할 수 있을까요?

이 질문에 누구도 YES라고 말하기 쉽지 않을 거로 생각합니다.

새로운 바이러스나 해킹 기법이 지속해서 생겨나고 있는 것도 이유가 되겠지만, 보안을 위해 직원들의 업무를 100% 통제할 수만은 없기 때문입니다.

‘작정하고 사기 치는 사람한테 당하지 않을 수 없다’는 말이 있듯이 정보유출사고도 마찬가지입니다.

그럼에도 보안 솔루션을 도입하면 보안사고가 눈에 띄게 줄어들고 직원들에게 경각심을 줄 수 있는 효과가 있죠. 그리고 혹시 모를 보안 사고가 발생할 경우 유실된 문서를 복구할 수 있다던가 또는 법적 증거가 되기도 하기에 보안 솔루션 도입이 이제는 필수 불가결이죠.

‘보안사고, 그것이 알고 싶다’ 이번 시간에는 영업비밀 유출 실제 사례를 살펴보며, 보안사고로 인해 법적 분쟁이 발생할 경우 ‘비밀관리성’ 요건에 충족하기 위해 필요한 사항에는 어떤 것들이 있는지 살펴보고자 합니다.

오늘은 현직자와 퇴직자의 공모에 의한 정보유출 사례에 대해 살펴보려고 합니다.

이번 사례를 통해 정말 다양한 방법으로 정보유출사고가 발생할 수 있다는 점을 다시금 상기시키실 수 있을 겁니다.

우리 회사는 어떻게 보안사고에 대비하면 좋을지 고민하시면서 사례를 읽어보시면 좋을 것 같습니다.

그럼 오늘 준비한 보안사고를 살펴보도록 하겠습니다.

사건 개요 >

-      주식회사J는 지능형 로봇 제조 및 판매업 등을 영위해 온 회사

-      주식회사I는 로봇 제조업 등을 영위하는 회사로 주식회사J와 동종 업체

2017년 말경부터 2018년 4월까지 아래와 같이 임직원 다수가 주식회사J에서 주식회사 I로 이직하였습니다.

-      A씨는 주식회사J에서 설계 팀장을 역임하였고, 주식회사I로 이직한 후 사내이사로 취임

-      B씨는 주식회사J에서 설계 2팀 팀장을 역임하고, 주식회사I로 이직 후 설계1팀장으로 설계 업무 총괄

-      G씨는 주식회사J에서 설계 업무를 담당하다가, 주식회사I로 이직 후 동일한 설계 실무 담당

주식회사I로 이직한 A씨는 주식회사J(피해 회사)에 근무하고 있는 B씨를 통해 ‘Z축 로봇 3D 모델링’등 파일을 받아 G씨에게 전달하며, 수정 설계를 요청하였습니다.

이러한 공모행위에 대하여 수사결과, 아래와 같은 사실이 확인되었습니다.

-      주식회사J에 소속되어 있는 B씨는 3D 모델링 등 압축파일을 이메일로 A씨에게 전송하여 영업비밀을 누설

-      A씨는 주식회사J의 영업비밀 취득과 동시에 누설

-      G씨는 주식회사J의 영업비밀을 취득 및 부정 사용함

B씨가 유출한 영업비밀 파일은 주식회사J가 제작한 Z축 로봇의 설계도면 등으로, 유사한 제품의 설계나 제작, 영업 등에 유용하게 사용될 수 있는 자료이므로 경쟁사가 이를 확보하는 경우 경쟁상 이익을 얻게 되는 반면 피해자 회사에는 큰 손실을 초래할 수 있는 영업비밀 자료에 해당합니다.

주요 쟁점 및 판결 요지 >

정보를 유출한 B씨는 업무기밀은 퇴사 시 반납한다는 정보보호 서약서, 기밀보장 및 발명에 관한 각서를 작성하였습니다. 그러므로 재직 중 입수한 정보에 대해서는 비밀을 유지하고, 퇴사 시 영업비밀 자료들이 기록되어 있는 모든 저장매체를 반환할 의무가 있었습니다.

주식회사J는 업무용 컴퓨터에 저장된 파일을 외부 저장장치로 이동하는 것을 금하는 보안 정책을 실시하였음에도 B씨는 파일 백업 등의 사유로 총 27개의 중요파일을 개인 외장하드에 이동 및 저장하여 범죄에 이용하였고, 이는 업무상 배임에 해당합니다.

한편 유출된 파일 자료가 아래 3가지 요건을 만족하는 영업비밀에 해당하는지 살펴보겠습니다.

 파일 자료는 부품의 규격, 재질 등이 기록된 부품목록 및 설계 도면인데 이 자료는 주식회사J를 통하지 아니하고는 입수할 수 없고, 주식회사J의 내부 자료를 유출한 것이므로 이 사건 파일 자료는 비공지성의 요건을 충족합니다.

유출된 자료는 주식회사J가 장기간 축적한 노하우로 상당한 시간과 노력, 비용을 들여 취득한 것이며, 이는 이와 유사한 제품의 설계나 제작, 영업 등에 활용할 수 있습니다. 경쟁사가 해당 자료를 사용한다면 연구개발 비용이나 시간을 절약하는 경쟁상 이익을 얻게 되는 점 등을 비춰보았을 때 해당 자료는 경제적 유용성의 요건을 충족할 수 있습니다.

주식회사J는 자료들이 회사 밖으로 유출되지 않도록 아래와 같이 관리하여, ‘비밀관리성’요건을 충족할 수 있었습니다.

1.    사내에서 생성된 파일을 암호화(DRM)하여 유출되더라도 외부에서는 이를 열어볼 수 없도록 함

2.    임직원 컴퓨터에 외부기기에 파일 복사를 차단하거나 이메일을 통해 승인 없이 파일을 송부할 수 없도록 하는 보안시스템 설치

3.    보안용 CCTV 설치하고, 설계실에 별도 출입문을 설치하여 외부인의 출입을 통제

4.    도면 파일이 저장된 서버에는 권한이 부여된 담당자만 접근이 가능하도록 설정

5.    보안 교육을 실시하고 보안규정을 제정·시행하며, 직원들로부터 회사 자료를 외부로 무단 반출하지 않겠다는 내용의 비밀유지서약서를 받음

6.    퇴직 시, 정보유출을 금하는 내용이 포함된 퇴직원을 받음

7.    주식회사J와 거래 업체 사이에는 비밀유지약정이 체결되어 있음

시사점 >

이번 사건에서 '합리적인 노력' 인정 관련하여 눈여겨보아야 할 부분은 크게 아래 두 가지입니다.

주식회사J가 거래업체에 제품을 납품할 때 외형도면, 모델링 파일 등을 제공하였으나, 이는 제품의 운용과 유지·보수 목적으로 제공된 것이고, 주식회사J와 거래 업체 사이에는 그에 대한 비밀유지약정이 체결되어 있었습니다. 신경 쓰기 쉽지 않은 부분인데, '합리적인 노력' 인정을 위해서는 거래 업체에 대한 보안 관리도 꼼꼼하게 챙겨야 하겠습니다.

지금까지 현직자와 퇴직자의 공모에 의한 정보유출 사례를 살펴봤는데요.

피해회사인 주식회사J는 보안사고 예방을 위해 다양한 보안장치를 마련하며 영업비밀을 관리했음에도 보안사고를 막을 수 없었습니다.

앞서 말씀드렸던 것처럼 보안대책을 통해 100%의 보안사고를 예방할 수는 없습니다. 하지만 보안사고 예방을 위한 활동으로 인해 다소 어렵지 않게 ‘비공지성’, ’경제적 유용성’, ‘비밀관리성’ 요건을 만족하여 영업비밀에 해당한다는 판단을 받을 수 있었습니다. 

우리 회사의 영업비밀을 끝까지 보호하기 위해서 최소한의 보안 장치는 필수입니다. 이번 사건을 통해 우리회사 현 상황에서 부족한 보안이 무엇인지 파악해 보고, 개선해 나가시길 바랍니다!

📌 위포커스 특허법률사무소 영업비밀 Maker [바로가기] 

📌 무료로 배포하는 보안가이드 [다운로드]

📌 통합PC보안이 가능한 정보유출방지 솔루션 오피스키퍼 제품소개서 [다운로드]

'위포커스 특허법률사무소 이동환 변리사' 검수