
인공지능 영상인식 기반의 정보보호 및 보안 솔루션을 제공합니다.
* All or most images in this article were created and edited using AI tools (ImageFX, ChatGPT, Gemini, etc.).
Regulatory Briefing
정보유출 범죄와의 전쟁
대북 정보수집 활동을 하는 군 비밀요원 정보를 중국에 유출한 전 국군정보사령부 군무원에게 징역 20년과 벌금 10억원, 추징금 1억 6205만원이 선고된 사실이 올해 초 언론을 통해 보도됐습니다. 해당 군무원은 2017년 중국 정보요원으로 추정되는 인물에게 포섭돼 2019년부터 여러 차례 돈을 받고 군사 기밀을 유출한 혐의로 2024년 8월 구속 기소됐으며, 지난해 12월 형이 확정됐는데요. 이번 판결은 군사기밀 유출 사건에 대해 형량을 높게 적용하고, 벌금형·추징까지 부과하는 선례로 자리잡을 가능성이 크다는 점에서 주목받고 있습니다.

국가 핵심기술과 관련된 영업비밀을 무단 반출하려던 국내 바이오社 전 직원에게는 징역 3년형이 선고된 사례도 있었습니다. 이 직원은 2022년 12월부터 열흘간 A4 용지 3700여 장 분량의 SOP(표준작업지침서) 등 영업비밀을 몰래 반출하려다가 보안요원에 현행범으로 체포돼 경찰에 인계됐으며, 반출하려 한 자료에는 국가 핵심기술도 포함된 것으로 알려졌습니다. 항소심에서 집행유예로 변경되긴 했으나, 유죄 판결이라는 점은 달라지지 않았습니다.
군사기밀과 같은 국가 안보 관련 정보 유출에 대해 중형이 선고되는가 하면, 민간 기업의 영업비밀, 국가 핵심기술 유출 범죄에 대해서도 실형이 선고되는 등, 정보·기술 유출 범죄에 대한 처벌이 강력해지고 있습니다.
국가 핵심기술 유출 시 벌금 최대 65억원
국가핵심기술 유출 사고가 반복됨에 따라, 산업부는 지난해 ‘산업기술의 유출방지 및 보호에 관한 법률 시행령 및 시행규칙’ 일부 개정안을 마련하면서 국가핵심기술의 해외 유출 시 벌금을 기존 최대 15억원에서 최대 65억원까지 상향했습니다. 개정안은 국가핵심기술 보호 체계를 대폭 강화하고, 기술 유출 시 처벌을 강화하는 동시에 기업 지원을 확대하는 내용을 담고 있습니다.
국가핵심기술 보유기관은 기술 및 기관에 대한 등록 의무를 지게 됩니다. 불법적인 해외 인수·합병에 대해서는 즉시 중지, 금지, 원상회복 등의 조치를 명령하고, 이를 이행하지 않을 경우 이행강제금을 부과할 수 있습니다.

또한 처벌 대상은 기존 ‘목적범’에서 ‘고의범’으로 확대되어, 유출된 기술이 해외에서 사용될 것을 인지한 경우에도 처벌이 가능합니다. 핵심기술 해외 유출을 알선하는 브로커 또한 기술 침해 행위로 처벌받으며, 산업기술 침해 행위가 고의적인 경우 손해배상 한도는 기존 3배에서 5배로 상향됐습니다.
73년 만의 간첩법 개정…산업스파이 엄벌
적용 범위를 ‘적국’에서 ‘외국 및 이에 준하는 단체’로 확대하는 내용의 형법 98조(간첩법) 개정안이 시행됩니다. 개정 간첩법에는 외국 등을 위한 간첩 행위에 대해 3년 이상의 유기징역에 처하는 조항이 신설됐습니다. 특히 이번 개정안에서는 간첩 행위를 ‘적국 또는 외국을 위해 지령, 사주, 그 밖의 의사 연락 하에 국가 기밀을 탐지, 수집, 누설, 전달, 중개하거나 이를 방조한 행위’로 구체화했습니다. 기존에는 간첩 행위에 대한 규정이 없었습니다.
간첩법 개정안은 최근 우리 경제안보를 위협하고 있는 ‘외국의 기술탈취’를 막을 보호막이 될 것으로 기대됩니다. ‘이에 준하는 단체’라는 표현을 명시함에 따라 외국 기업에 기술을 빼돌린 산업스파이도 간첩죄로 다뤄질 수 있습니다. 법정 최고형은 징역 30년입니다. 기술 유출을 단순 영업비밀 침해가 아니라 사실상 국가 배신행위에 가깝게 보겠다는 뜻입니다.

외국의 기술 탈취가 반복될 경우, 외국과의 기술격차가 좁아지는 것을 넘어 역전될 수도 있습니다. 많은 시간과 돈을 들여 일궈낸 우리의 R&D 성과가 경쟁국 및 경쟁자에 넘어간다면, 산업이 무너지고 경제가 흔들립니다. 이는 나라의 위기를 초래할 수 있습니다. 엄정한 법 시행으로 우리 산업과 경제, 경제안보를 튼튼하게 지켜야 할 것입니다.
정보유출 과징금 매출액 10%까지 부과…기업 책임 묻겠다
중대한 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 근거가 마련될 전망입니다. 최근 e커머스 개인정보 유출 사태 등 반복되는 보안 사고가 사회적 물의를 일으킨 데 대해 여야가 ‘징벌적 과징금’에 한 목소리를 내면서 관련 입법이 급물살을 타고 있습니다.
해당 개인정보보호법 개정안의 핵심은 과징금 상한을 기존 매출액 3%에서 최대 10%까지 상향하는 것입니다. 이에 따르면, ▲고의 또는 중대한 과실로 3년 이내 반복적인 법 위반이 있는 경우 ▲고의 또는 중대한 과실로 1천만 명 이상 대규모 피해가 발생한 경우 ▲시정조치 명령에 따르지 않아 유출이 발생한 행위에 한해 매출액의 10% 범위에서 과징금을 부과할 수 있게 됩니다.

일반 기업체뿐만 아니라 금융권의 보안 강화 필요성도 강조되고 있습니다. 몇 해 전 국내 한 증권사는 내부 웹서버 관리 및 보안 모니터링의 부실로 인해 사이버 공격을 받고 금감원으로부터 기관경고 및 1억 2000만 원의 과태료 처분을 받은 바 있습니다. 이러한 사례는 ESG 평가 항목에도 영향을 미쳐, 금융권에서 보안 거버넌스 구축 강화의 필요성이 더욱 커지고 있습니다.
금융위원회는 이미 2022년에 급변하는 IT환경과 새로운 보안 리스크에 금융회사 또는 전자금융업자가 탄력적으로 대응할 수 있도록 ‘금융보안규제 선진화 방안’을 마련했으며, 2025년 2월에는 이 방안을 실행하기 위한 조치로 전자금융감독규정 개정안이 시행됐습니다. 금융회사가 전사적 차원에서 보안 위협을 스스로 진단하고 복잡하고 다양해지는 위험에 유연하게 대응할 수 있도록 규제체계를 ‘규칙(rule) 중심에서 원칙(principle) 중심’으로 체계를 개편하고 금융회사 전반의 보안 대응 역량을 강화하고 있습니다. 이로써 금융회사의 자율적 IT 보안 관리 책임이 강화됐다는 평가입니다.
정보보호 공시 의무 대상 확대…보안 사각지대 없앤다
과학기술정보통신부는 ‘정보보호산업의 진흥에 관한 법률 시행령 일부 개정령안’을 입법예고하고, 정보보호 공시 제도의 적용 범위를 확대할 예정입니다. 이에 따라 내년부터 정보보호 공시 의무 대상이 유가증권시장 및 코스닥시장 상장사 전체와 정보보호관리체계(ISMS) 의무 기업으로 확대됩니다.
개정안에 따르면, 기존 공시 의무 요건이었던 ‘정보보호 최고책임자(CISO) 지정·신고’와 ‘매출액 3000억원 이상’ 조건은 삭제됩니다. 이에 따라 유가증권시장과 코스닥시장에 상장된 법인은 매출 규모와 관계없이 정보보호 공시 의무를 지게 됩니다. 이로써 정보보호 활동 내용을 공시해야 하는 기업이 기존 666개에서 2700여 개로 늘어날 전망입니다. 기업인수목적회사(SPAC)는 대상에서 제외됩니다.
가장 큰 변화는 공시 제외 대상의 전면 삭제입니다. 기존에는 공공기관, 소기업, 금융회사, 전자금융사업자는 정보보호 공시 의무 대상에서 제외됐지만, 이번 개정으로 해당 예외 조항이 모두 삭제됩니다. 이에 따라 은행, 보험사, 카드사, 전자금융업자 등 금융권 전반이 정보보호 투자·인력·인증 현황을 공시해야 합니다.

이번 개정은 최근 전방위적 해킹 사고로 국민 불안이 커진 상황에서 민·관 전반의 정보보호 수준을 끌어올리기 위한 조치로 풀이됩니다. 일각에서는 “정보보호 공시는 규제가 아니라 기업의 보안 역량과 신뢰도를 보여주는 장치로서, 기업 신뢰도 제고 수단으로 인식해야 한다”는 목소리가 나오고 있습니다.
[전문 목차(링크)]