이 글은 법무법인 임팩터스가 스타트업 법률 자문 경험을 바탕으로 작성했습니다. 
영업비밀 보호 체계가 회사 상황에 맞게 작동하고 있는지 점검이 필요하다면 편하게 문의해주세요. 

➡️ 임팩터스에게 문의하기 

"회수한 노트북에서, 2년치 기술이 통째로 사라졌습니다."

퇴사 마지막 날 노트북을 반납한 R&D 팀장이 떠난 뒤, IT팀 점검에서 드러난 건 핵심 기술 파일 200여 개의 전면 삭제. 노트북·백업 드라이브·개인 이메일까지 흔적이 같은 방향을 가리켰습니다. 망연자실한 손 대표가 가장 먼저 꺼낸 말은 이것이었습니다. “지금 할 수 있는 게, 남아 있긴 한가요?”

사건이 터진 뒤에 회사가 할 수 있는 일은 생각보다 제한적입니다. 삭제 자체는 영업비밀 침해의 결정적 증거가 되지 않기 때문입니다. 결과를 가르는 건 사후 대응이 아니라, 그 이전에 회사가 자료를 어떻게 관리해 왔느냐 입니다.

이직 시즌이 본격화되는 4~5월, AI 기반 의료영상 진단 스타트업 D사의 사례를 통해 회사의 기밀 관리와 법적 대응 방법에 대해 짚어보겠습니다.

서버에서 핵심 파일이 모두 사라진 날, 무슨 일이 벌어졌나요?

D사는 AI 기반 의료영상 진단 솔루션으로 빠르게 성장하던 스타트업이었습니다. 3년을 함께한 R&D 팀장이 CTO와 지속적으로 의견 충돌을 빚다, 근태가 나빠지더니 올해 자진 퇴사 의사를 밝혀왔습니다. 갈등이 길어진 끝에 차라리 다행이라고 생각한 순간도 잠시, 최종 퇴사 처리를 위해 노트북을 회수한 IT팀으로부터 긴급 보고가 들어왔습니다.

"퇴사자 노트북 점검 결과 핵심 기술 파일 200여 개가 삭제되어 있고, 백업 드라이브에도 해당 파일들이 모두 삭제되어 있습니다.

삭제 전 개인 이메일로 전송된 흔적도 발견했습니다. 서버 로그를 확인해보니 퇴사 일주일 전부터 대량의 파일 다운로드가 있었고, 퇴사 전부터 준비한 것 같습니다."

손 대표의 머릿속이 하얘졌습니다. 2년간 개발한 핵심 원천기술이 그 파일 안에 전부 들어 있었기 때문입니다. 퇴사자가 경쟁사에 입사하기 전에 막을 수 있는지, 이미 외부로 나간 기술이 경쟁사 제품에 그대로 쓰이는 걸 멈출 순 없는지… 대표 입장에서 떠올릴 수 있는 모든 질문이 동시에 쏟아졌습니다.

바로 이 지점에 많은 스타트업들이 놓치는 게 있습니다. "포맷하고 경쟁사로 갔으니 당연히 처벌받겠지"라는 직관과, 실제 법원이 보는 기준은 꽤 거리가 있다는 점입니다.

"삭제했는데 처벌이 안 될 수도 있다"는 건 어떤 의미인가요?

법원은 "파일이 삭제됐다"는 사실 그 자체만으로 영업비밀 침해를 인정하지 않습니다. 처벌로 가기 위해서는 회사가 다음 3가지를 구체적으로 입증할 수 있어야 한다는 입장을 여러 판결에서 일관되게 보여주고 있습니다.

• 첫째, 어떤 자료가 삭제됐는지를 특정할 수 있어야 합니다.
  "중요한 파일이 삭제됐다"로는 부족합니다. 어떤 파일명, 어떤 내용의 자료가 언제 삭제됐는지가 기록으로 남아 있어야 합니다.

• 둘째, 그 자료가 영업비밀로 인정될 관리 요건을 갖추고 있었어야 합니다.
  부정경쟁방지법은 영업비밀을 세 가지 조건으로 정의합니다.
  • 비밀관리성 — 비밀번호·열람 권한 제한·보안 규정 등으로 실제 비밀로 관리되고 있었는가
  • 경제적 유용성 — 경쟁 우위를 가져올 수 있는 가치가 있는가
  • 비공지성 — 일반에 공개되지 않은 정보인가

• 셋째, 삭제로 인해 실제로 어떤 손해가 발생했는지를 제시할 수 있어야 합니다.
  업무 마비, 복구 불가능성, 경제적 피해가 막연한 추정이 아니라 자료로 정리되어 있어야 합니다.

즉, 삭제 자체만으로는 범죄가 성립하지 않습니다. 삭제된 정보의 목록, 중요도, 복구 불가능성, 비밀관리 증거를 객관적으로 제시할 수 있어야 대응이 가능합니다.

이게 바로 "포맷했는데 처벌이 안 될 수도 있다"는 말의 실제 의미입니다. 삭제를 한 사람의 문제가 아니라, 그 자료가 회사 내부에서 어떻게 관리되어 왔는지에 따라 처벌 가능성이 갈린다는 뜻입니다.

D사가 법적 대응에 성공한 이유는 무엇이었나요?

D사가 임팩터스에 연락했을 때, 변호사는 바로 상황의 심각성을 파악했습니다. 동시에 한 가지를 먼저 확인했습니다. 계약과 자료 관리 체계가 갖춰져 있는가.

"손 대표님, 지금 상황은 부정경쟁방지법상 영업비밀 침해에 해당합니다. 즉시 법적 조치를 취해야 추가 피해를 막을 수 있어요.

D사와 임팩터스가 업무 협약을 시작했을 때 저희가 준비해드린 비밀 유지 조항을 포함해 계약을 전원 갱신하셨으니 입장할 자료의 근간은 마련된 셈입니다.

퇴직 시 비밀정보 반환 의무와 외부 유출 시 위약벌 조항도 포함되어 있어요. 그 외 해당 기술 자료들을 비밀로 관리해왔는지에 대한 부분도 확인이 필요할 것 같네요."

손 대표의 답은 이랬습니다.

"아 그런 걸 했었군요. 불행 중 다행이네요. 그… 자료 관리에 대해서는 이전에 알려주신 대로 핵심 기술 파일들은 접근 권한을 제한해서 관리하고 있었고, 어떤 파일이 들어 있는지는 권한 허용 시점에 전달드린 계약서에 포함되어 있었던 것 같습니다."

이 짧은 대화가 D사의 결과를 갈랐습니다. 변호사가 즉시 준비한 건 다음이었습니다.

• 유출된 자료의 삭제 요구
• 원본 파일 복구 요청
• 기밀 자료 유출 재발 방지 요구
• 손해배상 청구의 근거가 담긴 내용증명 발송
• 비밀관리성·경제적 유용성·비공지성·침해행위를 입증할 증거 자료 정리

내용증명이 나간 뒤 이틀이 지나지 않아, 퇴사한 팀장 쪽에서 먼저 연락이 왔습니다. CTO와의 갈등으로 퇴사를 결심하면서 그릇된 복수심에 잘못을 저질렀다는 사과, 그리고 선처 요청이었습니다. D사는 더 큰 피해로 확산되기 전에 사건을 수습할 수 있었고, 이후에는 퇴사 예정자의 계정·기기 접근 권한을 조기 제한하는 프로세스를 추가로 정비했습니다.

핵심을 다시 한 번 정리하자면 이렇습니다. D사가 대응에 성공한 이유는 "파일이 삭제됐다는 사실"이 아니라, 평소 비밀유지계약과 비밀관리 체계가 같이 작동하고 있었기 때문입니다. 똑같은 사건이 계약과 관리 체계 없는 회사에서 일어났다면, 법원은 "이게 무슨 영업비밀이냐"며 청구를 기각할 가능성이 열려 있었다는 뜻이기도 합니다.

사건이 터지기 전에, 회사는 어떤 체계를 갖춰두어야 할까요?

여기서 한 가지 더 드리고 싶은 말씀이 있습니다. 영업비밀 관리 체계가 계약서 하나로 끝나지 않는다는 점입니다. 같은 맥락에서, “사건이 생겼을 때 우리 회사는 제대로 조사할 수 있는가”를 점검해두는 것이 좋습니다 내용증명을 쓰기 위해서는 서버 로그를 누가 어떻게 확보할지, 디지털 포렌식을 어디에 의뢰할지, 신고·인지 경로는 어떻게 설계되어 있는지가 정리되어 있어야 하기 때문입니다.

내부 조사 체계가 없으면 사건이 생긴 뒤에야 허둥대게 됩니다. 관련해서 "사건 이전에 갖춰야 할 조사·감사 체계"를 정리해둔 글이 있으니 참고해보셔도 좋습니다 — 감사제도 운영규정, 어디까지 만들어야 할까요?

그래서 영업비밀 보호 체계는 계약·관리·모니터링 세 축으로 같이 움직여야 제대로 작동합니다. 임팩터스가 자문 현장에서 반복적으로 점검하는 항목을 한 번에 정리해드리면 다음과 같습니다.

[계약 및 서약 관리]

• 모든 팀원과 입사 시 비밀유지계약(NDA)을 체결했는가
• 비밀유지계약에 퇴직 시 자료 반환 의무가 명확히 규정되어 있는가
• 외부 반출 금지 및 무단 사용 금지 조항이 포함되어 있는가
• 현실적인 수준의 위약벌 조항이 설정되어 있는가

[비밀관리 체계]

• 핵심 기술이 무엇인지 명확히 특정하고 비밀로 관리하고 있는가
• 영업자료에 "비밀" 또는 "대외비" 표시가 되어 있는가
• 서버 접근 권한이 역할별로 제한되어 있는가
• 중요 자료는 공용 서버·클라우드에 자동 백업되고 있는가

[모니터링 및 퇴사 관리]

• 서버 접근 로그 및 파일 다운로드 기록을 모니터링하고 있는가
• 퇴사 시 자료 반납·삭제 확인 절차가 마련되어 있는가
• 퇴사 예정자의 계정 및 기기 접근을 조기 제한하는 프로세스가 있는가
• 포맷·삭제 발견 시 즉시 디지털 포렌식을 의뢰할 수 있는 체계가 있는가

12개 항목 중 8-11개라면, 탄탄하지만 일부 보완이 필요합니다. 7개 이하라면 지금 당장 영업비밀 보호 체계 자체를 설계하셔야 합니다.

명확한 룰은 장기적인 신뢰의 기반이 됩니다

4~5월은 연봉 협상·평가 결과가 마무리되고 이직 시장이 움직이는 시기입니다. 연초부터 이야기가 돌던 핵심 인력의 이탈이 실제로 가시화되기 쉬운 구간이기도 합니다. 그래서 이 시기에는 "우리 계약서가 퇴사 시점을 제대로 상정하고 있는가"를 한 번 점검해두는 것이 좋습니다.

D사의 사례가 보여준 건 간단합니다. 사건이 터진 뒤에 계약을 만들 수는 없습니다. 사건이 터진 뒤에 할 수 있는 건, 그 전에 만들어둔 계약과 관리 체계가 실제로 작동하는지 확인하는 일뿐입니다. 그래서 영업비밀 보호는 사전 예방이 최선의 방어라는 말이, 홍보 문구가 아니라 실제 대응 현장에서 가장 자주 나오는 문장입니다.

당장은 계약서에 위약벌 조항을 추가하는 일이 경직된 느낌을 줄 수도 있습니다. 권한을 역할별로 나누는 일이 번거롭게 느껴질 수도 있습니다. 그러나 회사와 팀원 모두를 보호하는 명확한 룰은 장기적으로 신뢰의 기반이 됩니다. 떠나는 사람 입장에서도, "어떤 자료를 가져가면 안 되는지"가 계약서에 명확히 적혀 있는 편이 불필요한 오해를 줄여줍니다.

현재 팀원들과 맺은 비밀유지계약서를 꺼내보시길 권해드립니다. 퇴직 시 자료 반환 의무, 외부 유출 시 위약벌 조항, 그리고 권한 관리 프로세스 — 이 세 가지가 같이 설계되어 있는지 확인해보시기 바랍니다.

한 번의 점검이 어느 월요일 아침에 받을 보고를 막아주는 가장 현실적인 준비가 될 것입니다.

🔖  이어서 읽으면 좋은 글

• 컴퓨터 포맷 후 경쟁사 이직, 어떻게 막을 수 있을까? — 이번 글이 "D사 사례"라면, 이 글은 "포맷 사건을 법적으로 어떻게 분해해서 보는가"를 입증 요건 중심으로 정리했습니다. 사건 전 단계에서 준비해둘 증거의 종류를 구체적으로 확인할 수 있습니다.
• [대표님 고민해결소] EP.13 2년간 유통업종 전체 영업 금지?! NDA 독소조항의 족쇄 — "계약 설계가 결과를 가른" 또 다른 사례. 계약을 받는 입장에서 NDA의 독소조항이 어떻게 회사를 묶을 수 있는지 보여줍니다.

이 글은 법무법인 임팩터스가 스타트업 법률 자문 경험을 바탕으로 작성했습니다. 
영업비밀 보호 체계가 회사 상황에 맞게 작동하고 있는지 점검이 필요하다면 편하게 문의해주세요. 

➡️ 임팩터스에게 문의하기