[정변의 기술변론] AI·클라우드 환경에서 영업비밀의 "비밀관리성"은 어떻게 달라지는가?

들어가며

영업비밀 분쟁의 승패는 대개 ‘비밀관리성’에서 갈립니다. 정보가 아무리 가치 있어도, 기업이 그 정보를 비밀로 관리했다는 사실을 증명하지 못하면 법은 그 정보를 영업비밀로 보호하지 않습니다.

문제는 이 ‘비밀관리성’의 기준이 환경에 따라 달라진다는 점입니다. 문서가 캐비닛에 잠겨 있던 시대의 관리와, 데이터가 클라우드에 흩어지고 직원이 생성형 AI에 자료를 입력하는 시대의 관리는 같을 수 없습니다. 본 글은 AI·클라우드 환경에서 비밀관리성이 어떻게 달라지는지, 기업이 무엇을 남겨야 하는지를 정리합니다.

전통적 비밀관리성 — 무엇을 요구해 왔는가

「부정경쟁방지 및 영업비밀보호에 관한 법률」은 비공지성·경제적 유용성·비밀관리성을 갖춘 정보를 영업비밀로 보호합니다.

이 가운데 비밀관리성은 “그 정보가 비밀로 유지·관리되고 있다는 사실이 객관적으로 인식될 수 있는 상태”를 뜻합니다. 전통적으로 기업은 이를 다음과 같은 방식으로 증명해 왔습니다. 문서에 ‘대외비’ 표시를 남기고, 자료를 잠금장치나 별도 구역에 보관하고, 접근할 수 있는 사람을 제한하고, 임직원에게 비밀유지 서약을 받는 방식입니다. 요컨대 ‘물리적 통제 + 표시 + 서약 + 접근권 제한’이 핵심 축이었습니다.

클라우드 저장 환경 — 통제의 축이 ‘경계’에서 ‘권한’으로 이동한다

클라우드는 이 그림을 바꿉니다. 자료가 특정 서버실, 특정 캐비닛이라는 ‘물리적 경계’ 안에 있지 않기 때문입니다. 데이터는 여러 곳에 분산 저장되고, 여러 단말에서 접근되며, 협업 도구를 통해 조직 밖 협력사와도 공유됩니다.

이 환경에서 비밀관리성의 무게중심은 ‘어디에 두었는가’에서 ‘누가 접근할 수 있게 설정했는가’로 옮겨 갑니다. 핵심 질문이 달라집니다.

· 접근권한이 직무·등급별로 적절히 분리되어 있는가?
· 권한 없는 사람이 핵심 자료에 접근할 수 있는 상태가 방치되어 있지 않은가?
· 외부 공유 링크, 전체 공개 폴더처럼 통제가 풀린 경로가 없는가?

클라우드에서는 ‘누구나 열 수 있게 열려 있었다’는 사실 하나만으로 비밀관리성이 부정될 위험이 큽니다. 접근권한 설정 그 자체가 비밀관리의 핵심 증거가 되는 것입니다.

생성형 AI 입력 데이터 — 새로운 유출 통로와 관리의 사각지대

그런데 생성형 AI는 또 다른 층위의 문제를 만듭니다. 직원이 업무 효율을 위해 회사 자료를 외부 AI 서비스에 입력하는 순간, 그 자료는 기업의 통제 범위를 벗어나 외부 서버로 이동할 수 있습니다.

여기서 비밀관리성 관점의 쟁점은 ‘입력했다는 사실’ 그 자체가 아니라, 기업이 그 “입력을 통제하려는 체계를 갖추고 있었는가”입니다. 같은 자료를 AI에 넣어도, 사전에 입력금지 정보를 분류하고 규정과 교육으로 통제해 온 기업과, 아무 기준이 없던 기업은 전혀 다른 평가를 받습니다. 전자는 “직원 개인의 규정 위반”이라 말할 수 있지만, 후자는 “회사가 비밀로 관리하지 않았다”는 증거만 남깁니다.

즉 생성형 AI 환경에서 비밀관리성은 ‘입력을 막았는가’가 아니라 ‘입력을 관리하는 체계를 문서로 갖추고 운용했는가’로 판단될 여지가 큽니다. 이는 앞선 협회 글(《생성형 AI 사용과 영업비밀 보호: 기업이 갖춰야 할 5가지 기본 조치》)에서 다룬 조치들과 직접 연결됩니다.

로그와 증빙 — ‘관리했다’는 말은 기록으로만 증명된다

전통적 환경에서는 잠긴 캐비닛과 ‘대외비’ 도장이 관리의 증거였습니다. AI·클라우드 환경에서 그 자리를 대신하는 것은 “로그”입니다.

누가, 언제, 어떤 정보에 접근하고, 복사하고, 반출했는가. 이 기록이 없으면 기업은 사고 이후에 “우리는 비밀로 관리하고 있었다”를 증명할 방법이 없습니다. 반대로 로그가 있으면, 평소의 통제 사실과 사고의 경로를 함께 보여 줄 수 있습니다.

· 비밀 정보의 접근·다운로드·반출 로그를 남기고 일정 기간 보관한다
· 클라우드·협업 도구의 공유 설정 변경 이력을 확인할 수 있게 한다
· 퇴직 예정자의 비정상적 대량 접근·반출을 점검하는 절차를 둔다

디지털 환경에서 비밀관리성은 ‘상태’가 아니라 ‘기록’으로 증명된다는 점을 기억할 필요가 있습니다.

기업 관리체계 구축의 필요성

정리하면, AI·클라우드 환경에서 비밀관리성은 세 가지 방향으로 이동하고 있습니다. 통제의 축이 물리적 경계에서 접근권한으로, 관리의 대상이 보관에서 입력·공유 행위로, 증명의 수단이 표시에서 로그로 옮겨 가고 있습니다.

이 변화는 기업에 새로운 부담이 아니라 오히려 기회입니다. 접근권한을 정리하고, AI·클라우드 사용 규정을 두고, 로그를 남기는 일은 그 자체로 ‘비밀관리성을 증명할 수 있는 상태’를 만들어 줍니다. 이런 관리체계는 한 번에 완성되지 않으며, 조직의 데이터·권한·책임을 연결해 정리하는 지속적 작업입니다.

맺으며

개인정보는 시민의 권리, 영업비밀은 기업의 생명, 기술주권은 국가의 미래입니다. AI·클라우드 시대에 기업이 자기 비밀을 지킬 수 있느냐는, 결국 그 정보를 ‘관리하고 있었다’는 사실을 남길 수 있느냐에 달려 있습니다. 한국영업비밀보호협회는 변화하는 비밀관리성 기준을 기업이 따라갈 수 있도록, 실무 기준과 관리체계 모델을 함께 제시해 나가겠습니다.

Newsletter
디지털 시대, 새로운 정보를 받아보세요!

AI 시대, 기술과 권리를 지키는 변호사.
한국영업비밀보호협회 회장, 법률사무소 데이터로 대표변호사.
기업의 영업비밀, 시민의 개인정보, 국가의 기술주권을 하나의 문제로 보고 글을 씁니다.
<팔란티어처럼 해체하고 연결하고 장악하라>, <영업비밀 전직금지 Q&A> 저자.