소스코드 유출 차단! 기업 대응방안 4가지

7월 7일 업데이트됨


예전 기술유출사건이 대부분 도면 중심으로 이뤄졌다면, 최근의 기술유출사건은 컴퓨터 프로그램이나 소프트웨어의 소스코드(Source Code) 중심으로 이뤄지고 있다. 특히 소스코드를 보유하고 있는 SW 개발자에 의한 소스코드 유출이 빈번한 바, 대표적인 판례사안을 중심으로 SW 개발자의 소스코드 유출시 기업의 대응방안에 대해 살펴보기로 한다.

[사안 : 대법원2010. 7. 15.선고2008도9066판결]

#사례

B는 증권분석 프로그램 회사인 A회사의 SW 개발자로서, 입사 시 영업비밀을 공개하거나 누설하지 않겠다는 내용의 서약서를 작성했다. 또한 퇴사할 때 회사의 업무를 수행하면서 취득한 제품의 소스코드 등 기업비밀은 회사의 소중한 자산임을 인지하고 사무실 외로 반출하지 않겠다는 내용의 기업비밀보호 서약서를 작성했다. 하지만 A회사는 중요자산인 win-station 프로그램파일의 비밀을 유지하는데 기업비밀보호 서약 외에 별다른 보안장치나 보안관리규정을 두지 않았고 중요도에 따라 프로그램 파일을 분류하거나 대외비 또는 기밀자료라는 특별한 표시도 하지 않았다.

이 회사 연구원들은 회사의 파일서버에 자유롭게 접근할 수 있었고 파일서버 내에 저장된 정보를 별다른 제한 없이 열람·복사할 수 있었다. 그리고 복사된 저장매체도 언제든지 반출이 가능했다.

이러한 가운데 B는 win-station 프로그램 개발 업무를 수행하는 과정에서 소스코드를 복사 및 취득했다. 그 후, A회사에서 퇴사한 B는 경쟁업체에 취직해 유사한 기능의 FCS 증권분석 프로그램을 개발했다.

위와 같은 형태의 사안이 SW 유출 사건의 주류를 이루며, 가장 많이 발생하는 유형이라 할 수 있다. 때문에 SW를 보유·관리하는 기업들은 반드시 이러한 유형의 기술유출에 대비해야 한다. 사안의 경우 A회사는 B에 대해 어떤 조치를 취할 수 있고, 성공적인 조치가 될 수 있을까? 또, A회사는 B에 대해 영업비밀침해죄, 업무상배임죄, 저작권침해죄로 형사 고소했는데, 이러한 고소에 대해 대법원은 어떤 결론을 내렸을까?

영업비밀침해죄 -> 무죄

B가 A회사에 입사할 때 영업비밀을 공개하거나 누설하지 않겠다는 내용의 서약서를 작성했고, 퇴사할 때 회사의 업무를 수행하면서 취득한 제품의 소스코드 등 기업비밀은 회사의 소중한 자산임을 인지하고 사무실 외로 반출하지 않는다는 내용의 기업비밀보호 서약서를 작성했다.

그러나 B 회사가 프로그램파일의 비밀을 유지함에 필요한 별다른 보안장치나 보안관리규정을 두고 있지 않았고 중요도에 따라 프로그램파일을 분류하거나 대외비 또는 기밀자료라는 특별한 표시를 하지도 않았던 점. 그리고 연구원들은 회사의 파일서버에 자유롭게 접근할 수 있어서 파일서버 내에 저장된 정보를 별다른 제한 없이 열람·복사할 수 있었고 복사된 저장매체도 언제든지 반출할 수 있었던 점 등에 비춰, win-station 프로그램파일은 상당한 노력에 의해 비밀로 유지됐다고 보기 어려우므로 영업비밀에 해당하지 않는다.

업무상배임죄 -> 무죄

B가 A회사를 퇴사하기 직전에야 win-station 프로그램파일을 복사해 취득했음을 인정할 증거가 없고, 오히려 그 대부분은 A회사에 근무하면서 프로그램 개발업무를 수행하는 과정에서 복사 및 취득한 것으로 보이는 점. A회사에서는 win-station 프로그램파일이 비밀로 관리되지 않은 채 B와 같은 연구원들이 별다른 제한 없이 이를 열람·복사할 수 있었고, 복사된 저장매체도 언제든지 반출할 수 있었다.

그리고 B가 win-station 프로그램파일을 복사해 취득한 것은 업무인수 인계를 위한 것이거나 자료정리 차원에서 관행적으로 행해진 것으로 볼 여지도 없지 않은 점. B가 A회사를 퇴직한 후 개발한 FCS 증권분석 프로그램은 A회사의 win-station 프로그램과 유사하거나 이를 변형 또는 참조했다고 보기 어렵다는 저작권위원회에 대한 감정촉탁회신결과에 의하면 B가 실제로도 이 사건 각 프로그램파일을 FCS 프로그램을 개발하는 데 이용하지는 아니한 것으로 보이는 점 등 여러 사정들을 고려할 때, 이 사건 각 프로그램파일을 복사해 취득할 당시 B에게 업무상배임의 고의가 있었다고 단정하기 어렵다.

저작권침해죄 -> 무죄

B가 A회사를 퇴사하기 직전에야 win-station 프로그램파일을 복제했음을 인정할 수 없고 오히려 그 대부분은 A회사에 근무하면서 업무의 일환으로 복제한 것으로 보이는 점. B의 경우 A회사에 근무할 당시 win-station 프로그램파일을 별다른 제한 없이 복제할 수 있었던 점.

B의 win-station 프로그램파일의 복제행위는 업무인수인계를 위한 것이거나 자료정리 차원에서 관행적으로 행해진 것으로 볼 여지도 없지 않은 점 등 여러 사정들을 고려하면, B가 win-station 프로그램파일을 복제할 당시 정당한 권원이 없었다고 단정할 수 없다.

A회사의 B에 대한 영업비밀침해죄, 업무상배임죄, 저작권침해죄 형사고소는 전부 무죄로 결론났다. 영업비밀침해죄는 A회사가 SW에 대한 영업비밀로서의 관리를 제대로 하지 못했기에 무죄가 된다는 것이고, 업무상배임죄는 퇴사 직전에 SW를 취득한 것이 아니고 정상적인 업무 수행 중에 SW를 취득했기에 무죄가 된다는 것이다.

저작권침해죄 역시 정상적인 업무 수행 중에 SW를 취득했기에 권한 없는 SW 취득이 아니어서 무죄가 된다는 것이다.

적절한 보안조치 및 규정 마련 필요

A회사가 B에 대해 취한 조치는 전부 실패로 돌아간 셈이다. 왜 이렇게 실패로 돌아갔을까? 어떻게 보안조치를 취해야만 A회사는 SW 개발자의 부정행위로부터 자신의 SW를 지킬 수 있을까?

우선은 SW 개발자에 대한 관리가 필요하다. SW가 수천억 원대의 영업비밀이거나 중요한 기업자산이라도 SW 개발자에게 이를 맡기지 않고서는 SW 개발이나 하자관리를 할 수는 없는 바, SW 기술정보 관리의 첫 단계는 SW 개발자에 대한 관리이다.

SW 개발자가 퇴사 시, 소스코드를 유출하지 못하도록 조치를 취하거나 서약을 받는 것도 중요하지만, 정상적인 근무 시에 서버나 지정된 회사 컴퓨터가 아닌 곳에 소스코드를 보관하지 못하도록 조치를 취해야 하고 만일 업무수행 과정에서 부득이 소스코드를 서버나 지정된 회사 컴퓨터 외의 컴퓨터에 보관하는 경우에는 반드시 회사의 승낙을 구하도록 관리해야 한다.

또한, 실행파일 역시 소스코드와 동일하게 관리해야 한다. 실행파일의 역분석을 통한 소스코드 확보가 매우 용이하므로, 실행파일 역시 원칙적으로 SW 개발자의 지정된 컴퓨터에서만 보관하도록 조치해야 한다.

두 번째로 서버의 관리 및 접근제한·저장매체 반출의 관리가 필요하다. 중요 SW는 개발자의 컴퓨터에 보관하는 것보다는 서버에 보관하면서 서버를 통해 관리하는 것이 바람직하다. 서버 관리를 하는 경우에는 로그기록을 통해 누가 언제 어떠한 접근을 했는지 검색이 가능하므로 불법적인 접근을 효율적으로 막을 수 있다. 다만 서버를 통해 관리하더라도 중요 SW를 모든 직원들이 열람·복제할 수 있거나, 모든 연구원들이 열람·복제할 수 있으면 영업비밀로서 보호를 받지 못한다.

때문에 ID나 폴더에 대한 접근제한을 설정해 중요 SW는 인가받은 자들만이 접근할 수 있도록 해야 비로소 영업비밀로서 보호를 받을 수 있다. 그리고 저장매체 반출은 금지시키되 불가피한 경우에는 반드시 관리자의 허락을 득하도록 해야 한다.

세 번째로 프로그램파일의 분류 및 영업비밀 표시하고 보안관리규정을 마련해야 한다. 영업비밀로서 보호를 받으려면 기본적으로 해야 할 일이 분류와 표시이다. 기밀·대외비 또는 confidential 등으로 SW 파일에 표시를 하지 않거나, 분류를 해 두지 않으면서 법적인 보호를 기대하는 것은 어불성설이다. 더불어 분류·표시한 기술정보에 대한 관리규정을 마련해 두어야 한다.

간단한 관리규정이라도 실제 기술유출 사건에서는 큰 역할을 하므로, 분류·표시·규정마련 등의 기본적인 조치를 반드시 갖추어야 할 것이다.

마지막으로 기술정보 취득 시점이 언제인지를 살펴봐야 한다. 만일 SW 개발자가 재직 중에 정상적으로 프로그램파일이나 소스코드를 취득해 개인영역에 보관하고 있었다면, 이러한 개인영역에의 보관에 대해 영업비밀침해죄, 업무상배임죄, 저작권침해죄가 성립하지 않는다.

SW 개발자가 사후적으로 보관한 SW를 이용해 사업을 하거나 또는 제3자에게 유출하지 않으면, 단순히 개인영역에의 보관을 대처할 방법은 없다고 봐야 한다. 반대로 퇴사가 임박한 시점이나 사직서를 제출한 다음에 프로그램파일이나 소스코드를 개인영역에 보관하는 경우에는 법적인 제재가 가능하다. 따라서 퇴사 이전부터인 재직 중에 또는 평상시에 기술정보가 SW 개발자 등 직원의 개인영역에 도달하게 하지 않도록 조치하는 것이 무엇보다도 중요하다.

[소스코드 유출 대응방안]

1. 소스코드를 지정된 컴퓨터나 서버 외에 저장 못하도록 조치

2. 서버의 관리 및 접근제한 설정

3. 영업비밀 표시 및 보안규정 마련

4. SW 개발자의 기술정보 취득 시점 파악

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2014. 5. 26.) 기고.

TODAY NEPLA's PICK