9년 차 반도체 연구원 A씨. 2024년 11월, 피고인석에 선 채 고개를 떨궜습니다. 한때 회사의 핵심 인재였던 그에게 법원이 내린 판결은 징역 1년 6월의 실형이었습니다. 엘리트 연구원은 왜 산업 스파이라는 오명을 쓰게 됐을까요.
A씨는 공학 석사 출신으로 입사해 쉼 없이 달려왔습니다. 하지만 연말 승진자 명단에 그의 이름은 없었습니다. 직장인이라면 누구나 느낄 법한 이 서운함은 A씨의 마음속에서 위험한 불꽃으로 변했습니다. 그는 곧장 중국의 경쟁사인 ‘L반도체’로 이직을 준비합니다. 그리고 2022년 6월, 마침내 합격 통보를 받습니다. 그런데 그가 회사에 남길 마지막 인사는 아름다운 이별이 아니라 치명적인 한 방이었습니다.
이직이 확정된 A씨는 중국 주재원(N Office) 신분이었습니다. 본사 복귀까지 남은 시간은 단 며칠. 그는 알고 있었습니다. 한국 본사의 보안 검색대는 물 샐 틈 없지만, 중국 사무소는 상대적으로 느슨하다는 것을요.
D-데이는 퇴사 3일 전인 2022년 6월 27일. 프린터가 굉음을 내기 시작했습니다. A씨는 퇴근 시간 무렵부터 미친 듯이 문서를 출력했습니다. 1309장(원본 4000페이지 분량)을 모아 찍기로, 내용은 국가핵심기술인 10나노급 D램 공정 기술(HKMG), 불량 분석 리포트, 설계 도면… 회사의 심장과도 같은 기밀 56건이었습니다. 그는 평소 메던 백팩 대신 커다란 ‘쇼핑백’을 들고 출퇴근했습니다. 동료들의 눈을 피해 수천장의 기밀문서를 쇼핑백에 쓸어담았습니다.
법정에 선 A씨는 억울함을 호소했습니다. “고객사 대응을 잘하려고 공부 목적으로 출력했습니다. 보고 나서 다 파쇄했고요.” 그러나 재판부는 퇴사 3일 전에 공부를 한다는 주장을 ‘경험칙상 도저히 믿기 힘든 변명’이라고 일축했습니다. 파쇄기 앞에 서 있어야 할 그를 목격한 동료는 단 한 명도 없었습니다. 그리고 월급의 무게상, 노동법적으로 근로자는 재직 중 회사에 대해 성실의무를 집니다.
회사도 문제는 있었습니다. 첫째, ‘고지의 부재’입니다. 회사는 해당 기술을 대외비로 관리했지만, 취급 직원들에게 “이것은 법적 처벌이 가중되는 국가핵심기술이다”라고 명확히 고지하지 않았습니다. 피고인이 “중요한 기술인 줄 몰랐다”고 변명할 빌미를 제공했습니다. 둘째, ‘해외 지사의 보안 공백’입니다. 한국 본사는 철통 보안을 자랑했지만, 피고인이 근무한 중국 사무소에는 보안 검색대가 없었습니다. 피고인은 이 점을 악용해 본사 복귀 직전, 보안이 허술한 중국에서 범행을 저질렀습니다. 그는 이직 성공과 복수를 모두 달성하려고 했지만, 결국 빈손으로 감옥에 가게 됐습니다(수원지방법원 여주지원 2024. 11. 7. 선고 2024고합53 판결).
2025년, 쿠팡 개인정보 유출은 매일 조금씩 은밀하게 진행됐습니다. 유출된 정보는 고객의 이름, 전화번호, 주소, 상세 주문 내역을 포함하고, 보이스피싱이나 스미싱 등 2차 범죄에 악용될 소지가 매우 큰 민감 정보들입니다.
분석 결과, 공격자는 쿠팡의 인증 시스템을 담당했던 전직 중국 국적 개발자 B씨(43세)로 밝혀졌습니다. 그는 재직 중 회사에 대한 불만이 있었던 것으로 알려졌습니다. 시스템 접근 권한을 가진 상태에서 ‘전자 서명 암호키(Signing Key)’를 무단으로 반출했고, 퇴사 후 중국으로 출국한 상태에서 이 키를 이용해 정상적인 로그인 절차를 우회하는 ‘인증용 토큰’을 생성, 데이터를 탈취했습니다.
법적으로 근로계약의 종료는 근로 제공의 중단과 임금 지급 의무의 소멸을 의미하지만, 디지털 환경에서의 근로계약 종료는 ‘디지털 접근 권한의 회수’가 완료된 시점입니다. 쿠팡은 해당 직원이 퇴사했음에도 불구하고, 그가 생성하거나 관리하던 암호 키를 갱신(Rotation)하지 않고 그대로 방치했습니다. 직원을 해고하면서 회사 정문의 열쇠를 회수하지 않고, 도어록의 비밀번호도 변경하지 않은 채 ‘이제 남이니 들어오지 말라’고 통보한 것과 같습니다. 노동법상 사용자의 지휘·감독의무는 재직자에게 집중되지만, 퇴직자에 대한 관리 부실(부작위)이 재직 중 형성된 리스크를 현실화시켰다면, 사용자의 귀책사유로 판단될 가능성이 큽니다.
법원은 퇴직한 직원의 개인정보처리시스템 접근권한을 지체 없이 말소하지 않은 것을 정보통신망법상 기술적·관리적 보호조치의무 위반으로 판단합니다. 시스템 인증 절차의 취약점과 결합해 해킹의 직접적인 원인이 된 과실로 평가됩니다. 퇴직자 계정으로 단기간에 대량의 개인정보 조회가 이뤄지는 등 비정상적인 접속 패턴을 탐지·차단하지 못하고 몇 달씩 유출을 방치한 것은 접속기록 확인·감독의무를 위반한 것으로 봅니다(서울중앙지법 2014가단43753, 2012가합83365 등). 이번 쿠팡 사건에서도 퇴사한 개발자 B씨가 서명 키와 회원 시스템 등 핵심 구간에 접근한 정황이 확인돼 동일한 구조적 취약성이 지적되고 있습니다.
기업이 부담할 제재는 어떨까요. 초등 온라인 학습 사이트를 운영하는 회사에서 약 2만3000건의 개인정보가 유출되는 사고가 발생했습니다. 개인정보보호위원회는 원고가 불법적 접근을 차단하기 위한 조치를 소홀히 하는 등 안전조치의무를 위반했다고 봐서 약 9억원의 과징금을 부과했습니다.
법원은 원고가 DB 접근통제를 소홀히 하고, 과거 유사한 해킹 사고를 경험했음에도 필요한 조치를 다하지 않은 점 등을 들어 과징금 처분이 적법하다고 판단했습니다. 특히 과징금 산정의 기준이 되는 ‘관련 매출액’을 약 537억원으로 보고, 이에 ‘중대한 위반행위’에 해당하는 부과기준율을 적용해 산출된 과징금이 재량권을 일탈·남용한 것으로 볼 수 없다고 판시했습니다(서울고등법원 2023누34486). 회사의 매출 규모에 비례해 수억원대의 과징금이 부과될 수 있음을 보여주는 사례입니다(유사 사례로 서울행정법원 2023구합66443).
쿠팡의 매출액(연간 약 40조원)과 피해 규모(고객계정 3370만개)를 위 사례와 비교해보면, 과징금(전체 매출액의 3%)이 ‘조 단위’로 추산되는 실정입니다. 쿠팡은 2024년 PB상품 순위 및 평점 조작 혐의로 역대 최대규모인 1628억원의 과징금을 부과받고 납부한 사실도 있습니다(현재 서울고법 2024누57899 사건으로 소송 계속 중입니다).
이 사건은 노동법적 관점에서도 중요한 의미가 있습니다. ①비밀유지의무 고지, 접근권한 분리, 보안 윤리교육 등을 포함한 예방 조치가 기업의 안전배려의무 범위에 포함됩니다. 특히 개인정보나 회사 핵심 자산을 다루는 직무에 대해서는 더욱 그렇습니다. ②퇴직 과정에서 갈등을 겪은 직원이 내부 정보를 근거로 문제를 제기하는 경우, 기업은 내부고발자 보호 기준과 징계 절차의 정당성을 동시에 확보해야 하는데, 사일로화(조직 내 부서들이 서로 소통·협력하지 않은 채 부서 이익만을 추구하며 곡식 저장고처럼 벽을 쌓는 현상)된 조직에서는 해당 절차가 불투명해져 분쟁 가능성이 커집니다. ③HR 단계에서 ‘퇴직 처리’만 이뤄지고 실제 시스템 권한 회수가 즉시 이뤄지지 않았다면 관리·감독상의 책임이 있습니다.
개인 일탈이 아니라 HR-보안-개발 부서가 각각 고립된 채 운영된 사일로 효과의 결과입니다. 급성장 기업에서 접근권한 관리·퇴직자 계정 회수·감사 로그 검토가 일상적으로 작동하지 않을 경우 내부자 사고는 반복될 수밖에 없습니다. 이번 사건이 이전 사건들과 같은 방식으로 취약점이 드러났다는 사실은 기술 보안뿐 아니라 인사관리·권한관리·내부통제 전반을 통합적으로 재설계해야 한다는 과제를 우리 앞에 다시 보여주고 있습니다.
![[속보]‘관봉권·쿠팡’ 특검, 한국은행 수색 검증…“띠지 정보 확인, 수사 전제 절차”](https://img.khan.co.kr/news/r/600xX/2025/12/19/news-p.v1.20251219.1e785655072b4b94ab7e9c5870228a96_P1.webp)
![[업무보고] 李 '초코파이 사건' 지적에…구자현 "지침 마련 중"](https://img.newspim.com/news/2025/12/19/2512191612394540.jpg)
![[세종25시] '명예의 전당' 출신 구윤철 부총리…눈 떠보니 '안·닮·상'](https://img.newspim.com/news/2025/12/17/251217202531662_w.jpg)
