뉴스레터
국제 기술경쟁 선두에 선 삼성전자 등 주요 타깃… 최고의 보안능력에도 한계
더피알=김경탁·한민철 기자 | 첨단산업의 선두기업들은 산업스파이들의 첫 번째 타깃이다. 반도체와 디스플레이, 2차 전지, 자율주행 등 여러 분야에서 세계 최선두를 달리는 국내기업들이 늘어난 현재, 매년 기술 유출을 시도했다가 적발된 사례들이 전해지는 이유다.
최근 삼성전자에서 기술 유출 사건이 다시 발생했다. 지난해에만 3건의 관련 사건이 언론보도 등을 통해 알려지며 업계의 이목을 집중시켰는데, 올해도 유사한 일이 반복된 것이다. 기술 유출을 시도한 방법조차 지난해 사건과 유사하게 이메일 전달기능을 사용했다고 한다.
실질적 피해가 커지기 전에 잡아낸 것이지만 겉에서 보기에 삼성전자의 정보보안 능력과 보안 정책에 문제가 있나 하는 의문이 나올 수 있다.
그러나 최근 일어난 기술 유출 사건들의 발생 및 적발 과정과 사법적 처리 결과를 자세히 살펴보면 이 문제의 근본적 원인은 다른 부분에 있음을 알 수 있다.
방지 관리·감독 시스템 아무리 치밀해도…
삼성전자는 기술 유출 행위에 대해 무관용 원칙으로 강력히 대응해 나가겠다는 방침 아래 생성형 인공지능(AI) 챗GPT의 사내 및 직원 사용 금지령을 내리는 등 보안 대책을 강화하고 있다. 정보 유출 우려가 제기되는 기존의 생성형 AI를 대신할 자체 AI 모델도 개발할 예정이다.
사실 삼성전자의 내부 기술 유출 행위에 대한 관리·감독 능력은 이미 무시할 수 없는 수준이고 실제 사건이 발생해도 이를 적발해 사법당국에 넘기는 데까지 긴 시간이 소요되지도 않는다.
임직원을 상대로 정기 보안교육을 실시하며, 매년 영업비밀 보안 서약서를 받고, 정보보호부서 차원에서 보안사고 탐지 및 예방을 위한 모니터링 시스템을 운영한다. 퇴직자나 퇴직 예정자를 상대로는 더 철저한 보안 점검을 하고 있다.
최근 사건과 지난해 4월 적발 사건에서 문제가 된 ‘RBS 시스템’의 경우 임직원들은 이 시스템을 사용하기 위해 개별적으로 접속 권한을 신청하고 부서의 그룹장 또는 팀장의 최종 승인을 받아야 하며, RBS 보안 서약서를 따로 작성해야 한다.
RBS 시스템 접속 시에는 사전 설치된 소프트웨어만 사용할 수 있고 USB 저장 매체 및 프린터 사용도 불가능하다. 화면 캡처 방지 기능이 항시 적용되며, 30분 미사용 시 가상 PC에 연결되거나 외부 인터넷을 사용할 수 없다.
이렇게 철저한 수준의 내부 보안 방침 때문에 실제 유출 시도자들이 시도하는 방식은 화면을 카메라로 찍는 등 다소 원시적이고 허술할 수밖에 없고 방식이 단순하다보니 적발도 쉽고 빠르게 이루어진다.
그럼에도 불구하고 이러한 사건이 거의 매년 발생하고 있는 배경을 파고들면, 범죄수익 은닉 수단이 되는 암호화폐의 보편화라는 사회적 배경과 함께 기술유출 사건에 대한 대한민국 법원의 무리해보일 정도의 온정적 판결을 발견하게 된다.
범행동기…리스크 대 리턴의 측면
2019년 흥사단 투명사회운동본부가 발표한 ‘전국 성인 및 청소년 대상 정직지수’에서 19~29세 응답자의 52.8%가 “10억이 생긴다면 잘못을 하고 1년 정도 감옥에 들어가도 괜찮다”는 인식을 드러내 큰 충격을 준 바 있다.
이 설문은 네티즌들이 즐기는 ‘밸런스게임’ 형식이다. 이 질문을 실제 기술 유출 사건에서 거래된 대가와 범죄의 유혹에 처할 수 있는 사람들의 상황을 기준으로 바꾸면 ‘최소 수십억에서 최대 수천억원 대의 불법수익’과 ‘짧은 징역형 혹은 집행유예 전과’를 맞바꿀 수 있겠냐는 물음이 되겠다.
기술 유출 사건 피의자들은 대부분 자신의 행위에 대해 ‘퇴직 후에도 그동안 해왔던 일을 참고하고 싶다’거나 ‘자신이 수행한 업무인 만큼 이를 개인적으로 보관하는 게 큰 문제가 되리라 생각하지 않았다’는 논리를 내세운다고 한다.
소속 회사가 여러 단계의 방지 장치를 두고 반복적인 보안교육을 통해 ‘하지 말라는 행위’를 굳이 몰래 저지른 것에 대한 변명으로는 궁색하지만, 법원의 판례와 형량들을 보면 이 궁색한 변명이 법관들에게는 어느 정도 받아들여지는 듯하다.
지난해 4월 적발 사건의 1심 판결문을 보면 피고인이 자택에서 RBS 시스템에 접속해 EDM 링크를 통해 파일을 열람하고, 무단으로 촬영한 행위에 대한 법리적 해석이 논란거리였다.
상식적으로 보면 기술 유출 행위로 볼 수밖에 없지만, 법원은 부정경쟁방지법과 산업기술보호법상 영업비밀 또는 핵심기술의 ‘부당한 취득’에 해당할 뿐 정보 유출은 아니라고 판단했다.
이 사건 재판부는 정보 유출을 “해외 유출 내지 이러한 유출과 유사한 위험이 있는 외부로 유출을 의미한다”고 좁게 정의했다. 회사 규정을 어긴 채 회사 밖에서 사내 핵심 기술 정보를 촬영했지만, 재택근무 중인 자택을 근무지로 봐서 ‘조직의 밖’에 해당하지 않는다는 것이다.
정부, 매국범죄 엄벌 의지…입법·사법 장벽
기술 유출 범죄에 대해 일본에서는 범죄 수익 모두 몰수와 천문학적 액수의 손해배상 청구가 이뤄지고, 대만의 경우 간첩죄를 적용해 12년의 징역과 벌금 1억 대만달러(한화 약 44억원)를 부과하는 반면 한국에서 ‘간첩’이라는 용어는 북한 스파이에 대해서만 인정된다.
최근 대통령실은 미래 핵심기술을 해외로 빼돌리는 심각한 매국 범죄를 막기 위해 관계부처가 유기적으로 협력하는 체계망을 구축하고, 해외로의 기술 유출 범죄에 대해 민형사상 강력한 책임을 지게 하겠다는 의지를 밝히고 있다.
하지만 민형사상 책임을 강화하는데 행정부의 노력만으로는 한계가 뚜렷하다. 입법부 국회가 만든 법이 규정한 형량과 벌금 규정 그리고 실제 판결을 내리는 사법부 법원의 판결 양형이 국민감정은 물론 피해 심각성을 전혀 반영하지 못하고 있기 때문이다.
대법원 자료 등에 따르면 산업기술의 유출방지 및 보호에 관한 법률(약칭 산업기술보호법) 위반 사건의 기소율은 51%로 비교적 높은 수준이지만 실제 실형을 선고받는 비율은 9.1%에 불과하다.
국가정보원 등이 최근 5년(2018년~2022년)간 파악한 국내기술 해외 유출 시도는 93건에 달하는데, 이 가운데 3분의 1은 정부에서 지정한 ‘국가핵심기술’에 해당되지만 재판에서 단 35%만이 실형을 받았고 집행유예를 받은 경우가 65%에 달했다.
산업기술보호법에 따른 해외 유출의 법정형은 2019년 개정으로 국가핵심기술의 경우 ‘3년 이상의 징역형’으로 상향됐고, 그 밖의 산업기술에 대해서는 15년 이하 징역으로 규정돼있지만 실제 판결 형량은 그 절반에도 못 미치고 있다.
사내 핵심 기술을 무단으로 유출했다고 하더라도 결과적으로 미리 적발돼 경쟁사나 제3자에 전파되지 않았다면 감형사유로 인정되고, 법에서 규정한 ‘외국에서 사용하게 할 목적’이라는 단서조항 입증이 어려워 집행유예를 선고받는 경우도 많다.
국회 입법 논의는 달팽이 걸음
심지어 범죄수익은닉의 규제 및 처벌 등에 관한 법률(약칭: 범죄수익은닉규제법)이 적용되는 ‘특정범죄’나 ‘범죄수익’에 산업기술보호법에 따른 해외유출이 포함된 것은 불과 2019년의 일이다. 2019년 이전의 기술해외유출로 얻은 범죄수익은 환수도 거의 불가능하다는 말이다.
실제 지난해 반도체 세정 장비 핵심 기술을 중국기업에 넘긴 혐의로 기소된 넘겨진 삼성전자 자회사 직원과 협력업체 직원 등에 대해 법원은 각각 징역 4년과 징역 2년 6개월을 선고하는데 그쳤고, 부당 이득금에 대해서는 특정할 수 없다며 추징하지도 않았다.
‘특정할 수 없는 부당 이득금’이라는 대목에서, 하루 평균 3조원 이상의 돈이 오간다는 암호화폐(가상자산) 시장을 떠올리게 되는 것은 자연스럽다. 가상자산 규제를 위한 입법 필요성이 제기된지는 오래지만 국제 규제 흐름과 비교해 국회에서의 구체적 논의는 지지부진한 실정이다.
다만 기술유출 사건 관련 판결의 근거가 되는 산업기술보호법의 기술유출 문제를 막기 위한 법안은 국회에 여러 건 발의돼있다.
그중 김태년 더불어민주당 의원이 5월 초 발의한 법안은 △국가핵심기술 국외유출 시 간첩죄에 준해 7년 이상 징역으로 처벌 강화 △법정형 상향 등 법이 개정되는 경우 대법원의 양형기준 변경 의무화 및 변경하지 않은 경우 사유 공개(법원조직법) 등을 담았다.
이 법이 언제 국회 논의를 거쳐 실제 입법으로 완성될지는 예상이 쉽지 않다. 지난해 6월 7일 비슷한 취지로 홍석준 국민의힘 의원이 대표 발의했던 ‘방산기술 해외 유출 범죄 구성요건 완화 및 처벌 강화’ 법안이 발의 1년이 지난 현재까지도 상임위 문턱을 넘지 못하고 있기 때문이다.
홍 의원 법안은 방위산업기술 유출 범행에 대해 솜방망이 처벌이 이루어지고 있고, 외국에서 사용되게 할 목적은 입증하기가 어렵다는 지적에 따라 기존 ‘20년 이하의 징역 또는 20억원 이하의 벌금’ 처벌을 ‘3년 이상의 유기징역에 30억원 이하 벌금 병과’로 강화하는 동시에 ‘해외 유출 가능성’에 대한 미필적 고의만으로도 가중처벌하도록 하는 내용을 담고 있다.
