보안사고, 그것이 알고싶다 ⑤이직을 통한 정보유출과 유출 사고로 인한 손해액을 인정한 사례

‘보안사고, 그것이 알고싶다’를 통해 유출 사례와 영업비밀 관리 방법을 소개해 드립니다.

이번 시간에는 ‘이직을 통한 정보유출과 유출 사고로 인한 손해액을 인정한 사례’를 보고, 주요 쟁점을 살펴보도록 하겠습니다.

---

 

유출 사고로 인한 피해를 정량적으로 파악할 수 있을까요?

정보유출사고가 일어날 경우, 기업의 손실은 당연하나 정확한 피해 규모를 파악하고 이를 증명하기는 쉽지 않죠.

가령 정보유출사고가 발생해서 피해가 있었음에도 다른 요인으로 인해 기업 매출이 올랐다면, 피해 보상을 받기는 어려울까요? 당연히 그래서는 안 되죠.

 

보안 사고 발생 시, 피해를 인정받고 이에 대한 보상을 받기 위해서는 어떤 보안 대책들이 필요할까요?

‘보안사고, 그것이 알고싶다’ 이번 시간에는 이직을 통한 정보유출 실제 사례를 살펴보며 우리 회사 영업비밀이 법적으로 인정받기 위해서는 어떤 요인들 충족되어야 하는지 살펴보고자 합니다.

 

 

사건 개요 >

주식회사A와 주식회사C는 커피 생두를 수입하여 업체에 판매하는 사업을 영위하는 동종업계입니다.
주식회사A에서 영업팀으로 근무하고 있던 김씨는 퇴직 후, 주식회사C에 입사하였습니다.

 

김씨는 이직 전, 개인USB에 주식회사A의 영업비밀에 해당하는 ‘거래처 명단, 연락처, 기준 단가, 특이 사항’ 등이 기재된 파일을 반출하였고 주식회사C에 이직 후, 해당 파일을 활용하여 영업 업무를 수행하였습니다.

 

김씨는 관련 형사사건에서 ‘업무상 배임’ 및 ‘부정경쟁방지 및 영업 비밀 보호’에 관한 법률에 위반되는 범죄사실로, 벌금 500만 원을 선고받은 바 있습니다.

 

주요 쟁점 및 판결 요지 >

이번 사건은 크게 ‘영업비밀 해당 여부’, ’손해배상책임 범위’ 이렇게 두 관점으로 살펴보도록 하겠습니다.

 

영업비밀의 해당 여부❓

 

 

☝️영업비밀의 비공지성·경제적 유용성 요건에 충족하는가?

누구나 쉽게 사용할 수 있는 파일이라면 영업비밀이라고 판단하기 어렵겠죠. 또한 경제적으로 유용하지 않은 정보라면 이 또한 영업비밀이라고 말하긴 어렵습니다. 하지만 김씨가 유출한 자료는 아래와 같은 이유로 ‘비공지성’,’경제적 유용성’을 인정받을 수 있었습니다.

 

① ‘거래처 명단, 연락처, 기준 단가, 특이 사항’ 등이 기재된 파일은 주식회사A가 상당 기간에 걸쳐 취득한 정보임

② 유출된 파일은 내부 자원관리 시스템에 접속하지 않고는 입수할 수 없음

③ 파일 내용 중 '기준 단가'는 업체별 판매단가에 관한 내용으로 만약 경쟁회사가 이를 취득할 경우 특정 거래처에 보다 저렴한 단가를 제안함으로써 경쟁상의 이익을 얻을 수 있음

④ 파일 내용 중 '특이사항'은 거래처의 상황, 선호하는 품목 및 단가, 대금결제 방식 등에 관한 내용으로 경쟁사가 이를 취득할 경우 홍보를 하거나 거래조건을 협상하는 데 드는 노력과 비용을 절감하여 경쟁상의 이익을 얻을 수 있음

 

✌️영업비밀의 비밀관리성 요건에 충족하는가?

유출된 영업자료는 아래와 같이 합리적인 노력을 들여 비밀로 유지된 것으로서, 영업비밀의 비밀관리성 요건을 충족한다고 볼 수 있습니다.

 

① ERP 시스템은 승인받은 영업팀, 관리부 등 일부 직원들만 접속이 가능하여 그 접근권한을 제한함

② 직원의 PC에 로그인 암호가 걸려있고 로그인 암호는 관리부장이 일괄 관리

③ 김씨가 주식회사A에 근무할 당시 작성한 보안서약서에는 '판매/유통방법, 원가, 거래처 등 영업에 관한 사항 등을 퇴직 후 사용하지 않을 것이고, 이를 위반할 경우에는 부정경쟁방지법에 의한 손해를 배상할 것을 서약한다.'는 내용이 기재되어 있고, 김씨가 작성한 사직원에도 '퇴사 후 회사의 영업비밀 등에 대해서 비밀을 유지할 것을 약속한다.'라는 내용이 기재되어 있음

④ 주식회사A는 보안경비 및 지문인식 장치 등을 통하여 외부인 출입을 통제되고 있음

 

🕵️‍♀️ 결론: 유출된 영업파일은 비공지성, 경제적 유용성, 비밀관리성 요건을 모두 충족하였으므로 영업비밀에 해당함

 

손해배상책임의 발생 및 범위❓

 

 

주식회사C는 매출액 및 영업상 이익이 증가하여 영업유출로 인해 주식회사A의 손해가 없다고 주장하였으나, 영업비밀 침해행위가 없었다면 주식회사C의 상승률이 증가할 수도 있었을 것으로 보이므로 반드시 피해회사의 매출 등이 감소해야만 손해가 발생하였다고 볼 수는 없습니다.

 

따라서 영업비밀 침해행위로 인하여 주식회사C에게 손해가 발생된 것은 인정되나 정확한 손해액을 입증하기 어려워 증거조사의 결과에 기초하여 상당한 손해액을 인정할 수 있습니다.

 

① 주식회사A는 유출된 정보를 취득하는데 상당한 비용과 노력이 필요하였음

② 김씨가 이직 후 업무를 수행하면서, 해당 파일을 사용하여 특정 거래처를 상대로 홍보를 하거나 거래조건을 협상하는 데 드는 비용과 노력을 절감하였음

 

이러한 사유를 바탕으로 손해액을 15,000,000원으로 정하였습니다.

 

시사점 >

이번 사건에서는 형사사건을 통해 벌금 5백만 원이 선고되고, 이후 민사사건을 통해 1천5백만 원까지 인정되었습니다.

이는 보안사고가 일어난 경우 민사, 형사 사건이 모두 진행될 수 있다는 점을 시사하는 바입니다.

 거래처 명단 등이 기재된 파일이 영업비밀성으로 인정받을 수 있었던 큰 이유는 영업비밀 보유자가 상당한 기간에 걸쳐 업무를 수행하며 취득하였고, 단순 수집 형태가 아니라 거래관계 내지 특이점 등이 결합된 형태였기에 때문입니다.

 

그뿐만 아니라, 주식회사A는 해당 자료를 '비밀로 관리'하였기에 [①ERP 시스템에 대한 접근권한을 제한 ②관리 책임자를 두어 각 PC 암호를 관리 ③보안서약서를 받아 둔 것 등] '비밀관리성'을 인정받을 수 있었습니다.

 

영업비밀 침해행위에 따른 손해액 판단에서는, ✔️영업비밀성이 인정되고 ✔️영업비밀 침해행위가 인정되는 이상, 영업비밀 침해행위 때문에 주식회사A의 매출 감소가 일어난 것이 아니더라도 영업비밀 침해행위와 주식회사A의 손해 사이에 인과관계를 부정하기는 어렵습니다.

 

지금까지 이직을 통한 정보유출과 유출 사고로 인한 손해액을 인정한 사례를 살펴봤는데요.

보안사고 발생 시 손해를 입은 피해회사임에도 불구하고, 피해를 입증하기 위한 상당의 노력이 필요합니다.

 

보안 솔루션 도입은 피해를 예방하기 위함도 있지만, 보안 사고 발생 시 피해를 입증하고 증거로 활용하기 위함도 있다는 것을 이번 사례를 통해 다시금 알 수 있었습니다.

 

보안 솔루션 도입 시, 내부 중요 정보 흐름을 잘 파악할 수 있어 사고를 예방하고 동시에 유출 사고 발생 시 빠르게 대응할 수 있어 특히 중소기업에서는 꼭 필요하다고 할 수 있습니다.

이번 보안 사고 사례를 반면교사 삼고, 보안사고가 발생하기 전에 보안 대비를 하시고 안전한 업무환경을 만드시기를 바랍니다.

 

 

📌 위포커스 특허법률사무소 영업비밀 Maker [바로가기] 

📌 무료로 배포하는 보안가이드 [다운로드]

📌 통합PC보안이 가능한 정보유출방지 솔루션 오피스키퍼 제품소개서 [다운로드]

 

 

'위포커스 특허법률사무소 이동환 변리사' 검수