반도체 소재 전문기업 A사는 지난해 말 연구개발을 함께하던 교수가 반도체 관련 기술을 중국에 유출한 것 같다는 제보를 받았다. 해당 기술은 경제적 가치가 커서 국가 차원에서 관리하는 국가 핵심기술로 중국 손에 넘어가면 한국과의 반도체 기술 격차를 줄일 수 있는 기술이었다. A사는 해당 교수를 의심하고는 있었지만 감시 또는 정황을 알아볼 사내 인력이 충분하지 않았다. 결국 사내 보고를 거쳐 일주일이 지나서야 수사 기관에 의뢰했고 현재 사건을 수사 중이다.
국내 산업의 핵심 기술이 경쟁 외국 기업과 국가로 유출되는 사고가 끊이지 않고 있어 기업 내 보안전담 부서를 만들거나, 보안전담 임원을 두는 등 보안조직을 강화해야 한다는 지적이 나온다. 실제로 산업기술 유출 사건은 2013년부터 해마다 20건 넘게 발생하고 있다. 유출되면 피해가 큰 반도체 등 국가 핵심기술 유출 사례도 매년 5, 6건에 이른다. A기업의 경우 보안전담 조직이나 보안전담 임원이 있었다면 의심단계에서 유출을 막거나 빠른 조치를 할 수 있음에도 전담 조직이 없어 사태를 키운 것이다.
6일 한국산업보안한림원이 국가 핵심기술을 보유한 기업과 연구기관 등 전체 143곳을 대상으로 한 조사 결과에 따르면 상무 이상의 직급으로 사내 보안 및 보안 규정을 총괄하는 보안전담 임원이 있는 곳은 143개 중 8개(5.6%)에 불과한 것으로 나타났다. 보안을 전담으로 하는 팀과 부서를 보유한 곳도 51개사(35.6%)였다. 대부분의 기업과 연구소는 보안 담당 임원이나 책임자가 총무와 기획 등의 업무를 겸하고 있었고, 보안 조직도 부서별 보안 담당자를 두거나 특정 부서에 일부 파트로 두고 있는 정도였다. 애플과
IBM, 구글, 화웨이, 인텔 등 글로벌 기업들은 보안만 전담하는 부사장급 임원을 두고 있는 것과는 대조적이다.
기업들은 보안 전담 부서와 전담 임원이 필요하다는 데는 대체로 공감하고 있다. 한국산업보안한림원이 회원사 42개 업체(대기업)를 대상으로 보안전담 임원 필요성에 대해 물은 결과 70%의 기업들이 ‘보안전담 부서 및 임원이 법률로써 지정될 필요가 있다’ 고 답했다. 한 대기업 관계자는 “보안 책임자가 임원이냐 아니냐에 따라 영향력 자체가 달라진다. 그만큼 부서 간 보안 협력이나 통제도 원활하다는 장점이 있다”면서 “보안 사고가 터졌는데 어떻게 신고를 하고 대처해야 하는지 자체를 모르는 임원도 있다. 기술 유출 수법은 나날이 발달하는데 그 만큼 보안 전문성도 강화돼야 한다는 점에서 전담 조직이 필요하다”고 말했다.
그러나 일부 기업들은 보안전담 조직의 법률화가 과도한 규제로 작용할 수 있다는 우려도 하고 있다.
IT업체 관계자는 대기업 관계자는 “임원 하나 늘리는 것이 쉽지 않고, 겸직으로도 충분히 보안이 확보가 되는데 오히려 법제화를 하는 것이 기업에겐 부담으로 작용할 수 있다”며 “비용적인측면도 고려를 안 할 수 없다”고 말했다.
기술유출은 했으나 처벌 대상은 아니다?
기술유출을 막기 위해 ‘보안조직이라는 성’을 두텁게 쌓는 조치 못지않게 기술유출 행위 자체를 엄하게 다스려야 한다는 지적도 나온다.
2018년 7월 대법원은 삼성전자에서 반도체 기술을 빼돌린 혐의로 기소된 A전무에 대해 무죄 판결을 내렸다. A전무는 10년 가까이 반도체 관련부서에서 근무를 하던 중, 2016년부터 3회에 걸쳐 국가핵심기술에 해당하는 47개 자료를 유출한 혐의를 받았다. 그러나 재판부는 A전무가 회사 자료를 가지고 나와 집에 보관하는 행위가 산업기술 유출에 해당하지만 ‘부정한 목적’과 ‘고의성’을 인정하기 어렵다며 무죄를 선고했다. 재판부는 과거에 이직을 시도했고, 헤드헌터와 접촉한 점을 의심하고 있지만 부정한 목적을 증명하기 어렵다고 판단한 것이다. 그러나 업계에서는 ‘부정한 목적’을 증명하는 것이 실질적으로 어려울 뿐 아니라, 이미 기술이 넘어간 뒤에 부정한 목적이나 기술 유출로 인한 피해를 입증하는 것이 무슨 의미가 있냐고 지적한다. 한 반도체 관련 기업 관계자는 “삼성전자 사건에서 유출된 기술들은 경쟁사와 초격차를 유지하기 위해서 필요한 기술이었다”며 “들키면 ‘연구 목적으로 기술을 가지고 온 것’이라고 해버리면 처벌하지 못한다”고 말했다.
실제로 최근 3년(2017~2019) 동안 산업기술보호법 위반으로 기소된 사건은 총 72건이지만, 실형을 선고 받은 건 3건 뿐이었다. 이에 기업들은 해외 경쟁국들이 국내 핵심기술 확보에 혈안이 돼있는 만큼 산업기술 보호를 위해 ‘회사 동의 없이 기술을 유출하는 행위’에 대해서도 처벌가능 하도록 해야 한다고 지적한다. 이유가 무엇이든 부정하게 기술을 유출한 행위 자체만으로도 강력한 처벌해야 한다는 것이다.
한국산업보안한림원 정우식 회장은 “이미 넘어간 기술의 유출 목적을 따져봐야 엎질러진 물”이라며 “보안 관련해서 빠져나갈 구멍을 만들어주지 말고 기업과 기관 허락 없이 외부로 가져가는 행위 자체만으로도 강력한 처벌이 있어야 경각심을 높일 수 있다”고 말했다.
이에 국회에서도 유출자 강력 처벌의 내용을 담은 입법을 추진하고 있다. 고민정 더불어 민주당 의원은 “삼성전자가 보유한 국가핵심기술 47건이 유출됐음에도 법률적 미비로 인해 대법원에서 무죄 판결을 받은 것은 심각한 문제”라며 “적법하게 확보했다 해도 국가핵심기술을 동의 없이 사용하거나 공개하면 반드시 처벌할 수 있도록 하고 국가핵심기술을 보유한 대기업은 반드시 보안전담임원과 조직을 갖추도록 하는 ‘삼성전자 국가핵심기술 유출 방지법’을 대표발의 할 계획”이라고 말했다.
변종국기자
bjk@
donga.com