이장욱 울산대 경찰학과 교수
그러나 모든 기업이 자체적인 연구개발 노력을 통해 정정당당하게 경쟁에 임하려고 하지 않는다는 것이 문제이다. 지금도 상당수의 기업들은 경쟁업체가 오랜 시간 공들여 개발한 핵심기술이 담겨진 데이터를 손쉽게 취득하기 위해 안간힘을 쓰고 있다. 산업스파이로 인한 연간 피해 규모가 가히 천문학적 수준에 달하고 있다는 것은 주지의 사실이다. 한마디로 ‘총성 없는 전쟁’이 벌어지고 있는 중이다.
이른바 ‘디지털 대전환(digital transformation)’이 경제발전에 미치는 많은 긍정적인 측면에도 불구하고 디지털데이터는 다음과 같은 보안상 취약점을 지니고 있다. 첫째, 데이터에 접근하고자 하는 사람은 합법적인 인증절차를 거치기만 하면 정보의 열람부터 복제, 활용에 이르기까지 어떠한 저항도 받지 않고 목적을 달성할 수 있다. 둘째, 데이터가 경쟁자의 수중에 들어가면 그가 기존에 보유하던 또 다른 데이터와의 조합을 통해 훨씬 더 값진 정보로 탈바꿈하기도 하고, 때로는 경쟁업체의 심층적인 경영정보까지도 파악해낼 수도 있다.
최근 발생하는 산업스파이의 면면을 살펴보면 이러한 디지털 데이터의 허점을 최대한으로 활용하는 한편 자신의 법률적 리스크를 최소화하는 방향으로 범행을 저지르는 경향을 보이고 있다. 즉, 물리적인 침투 및 탈취는 이제 거의 자취를 감추었고 그 대신 피해회사의 임직원에 대한 회유와 매수, 공모를 통해 내부유출을 이끌어내는 식의 교묘하고 우회적인 방향으로 진화하였다. 게다가 정보의 디지털화는 국부(國富)의 해외유출을 더욱 용이하게 만들었다. 데이터의 이동에 있어 과거와 같은 시간ㆍ공간적 제한이 무의미해졌기 때문이다.
이러한 상황 속에서 주변 국가들은 데이터 보안을 위해 어떠한 노력들을 하고 있을까? 우리나라와 지리적으로 근접해 있는 중국의 사례를 보자. 중국은 우리 기업들의 영업비밀이 가장 많이 흘러들어가고 있는 국가이며 그 비중 역시 절대 다수를 점하고 있다. 이렇듯 국내 기술의 최대 유출처인 중국은 아이러니하게도 자국의 데이터 안전에 있어서는 그 어느 나라보다도 철저하고 엄격한 잣대를 적용하기 위한 정책적 노력을 지속 강화해왔다. 그 결과 2016년 ‘네트워크안전법’에 이어 금년에는 ‘데이터보안법’을 제정하기에 이르렀다. 이 법들의 내용적 타당성은 별론으로 하고 무엇보다 정부가 나서서 자국에서 생산되는 데이터의 안전성 확보를 위해 다각적인 노력을 기울여왔다는 점만으로도 시사하는 바가 크다.
우리나라의 입법자나 정부당국자도 이제 디지털 데이터의 허점을 악용한 산업보안범죄를 억제ㆍ차단할 수 있는 법제도적 방안을 보다 심도 깊게 모색해야 할 시점이다. 물론 수차례에 걸친 관계법령 개정을 통해 법정형이 상당히 강화되긴 했지만 여전히 산업기술이나 영업비밀 유출 건수에 있어 별다른 감소세를 보이지 않고 있다. 특히 데이터의 해외유출을 통해 손쉽게 ‘한탕’을 노리는 잠재적인 범죄자들에게 경종을 울리고 범행욕구를 억제하기에 현행 법령은 여전히 미흡한 것으로 평가된다. 이에 다음과 같은 입법방향을 제시하고자 한다.
첫째, 데이터의 해외유출은 국가경제에 미치는 악영향이 막대함에도 유출자의 입장에서는 해외유출 시 얻을 수 있는 보상이 국내 유출과는 비교할 수 없는 수준이라 범행 유혹도 그만큼 클 수밖에 없다. 이러한 이유로 해외유출자에 대한 법정형 강화만으로는 범행억제에 한계가 있으며 재범 방지도 어려우므로 해외 유출에 한하여 신상정보 공개제도를 도입하는 등의 특단의 강도 높은 규제가 요구된다.
둘째, ‘산업기술의 유출방지 및 보호에 관한 법률’상 국가핵심기술이나 산업기술의 해외 유출의 경우에는 고의 이외에도 외국에서 사용하거나 사용되게 할 목적이 인정되어야 처벌이 가능한데, 이는 ‘부정경쟁방지 및 영업비밀보호에 관한 법률’에서 고의만으로 처벌할 수 있는 것과 균형이 맞지 않다. 그러므로 산업기술보호법의 해외유출 벌칙조항에서 ‘목적’을 삭제함이 바람직하다.
마지막으로, 회사의 내부자에게 있어 디지털 데이터는 종이문건과 같은 유형의 자료에 비해 무단 수집ㆍ이용ㆍ유통이 자유롭고 외부로의 유출도 훨씬 용이하다. 따라서 영업비밀보호법에 ‘데이터에 대한 부정 사용행위’를 명시적으로 규정하고 별도의 제재조항을 신설할 것을 제안하는 바이다.
※ 이 글은 국가정보원 산업기밀보호센터 및 (사)한국산업보안연구학회 공동기획 기고문 입니다.