[정변의 기술변론] AI·클라우드 환경에서 영업비밀의 "비밀관리성"은 어떻게 달라지는가?

들어가며

영업비밀 분쟁의 승패는 대개 ‘비밀관리성’에서 갈립니다. 정보가 아무리 가치 있어도, 기업이 그 정보를 비밀로 관리했다는 사실을 증명하지 못하면 법은 그 정보를 영업비밀로 보호하지 않습니다.

문제는 이 ‘비밀관리성’의 기준이 환경에 따라 달라진다는 점입니다. 문서가 캐비닛에 잠겨 있던 시대의 관리와, 데이터가 클라우드에 흩어지고 직원이 생성형 AI에 자료를 입력하는 시대의 관리는 같을 수 없습니다. 본 글은 AI·클라우드 환경에서 비밀관리성이 어떻게 달라지는지, 기업이 무엇을 남겨야 하는지를 정리합니다.

전통적 비밀관리성 — 무엇을 요구해 왔는가

「부정경쟁방지 및 영업비밀보호에 관한 법률」은 비공지성·경제적 유용성·비밀관리성을 갖춘 정보를 영업비밀로 보호합니다.

이 가운데 비밀관리성은 “그 정보가 비밀로 유지·관리되고 있다는 사실이 객관적으로 인식될 수 있는 상태”를 뜻합니다. 전통적으로 기업은 이를 다음과 같은 방식으로 증명해 왔습니다. 문서에 ‘대외비’ 표시를 남기고, 자료를 잠금장치나 별도 구역에 보관하고, 접근할 수 있는 사람을 제한하고, 임직원에게 비밀유지 서약을 받는 방식입니다. 요컨대 ‘물리적 통제 + 표시 + 서약 + 접근권 제한’이 핵심 축이었습니다.

클라우드 저장 환경 — 통제의 축이 ‘경계’에서 ‘권한’으로 이동한다

클라우드는 이 그림을 바꿉니다. 자료가 특정 서버실, 특정 캐비닛이라는 ‘물리적 경계’ 안에 있지 않기 때문입니다. 데이터는 여러 곳에 분산 저장되고, 여러 단말에서 접근되며, 협업 도구를 통해 조직 밖 협력사와도 공유됩니다.

이 환경에서 비밀관리성의 무게중심은 ‘어디에 두었는가’에서 ‘누가 접근할 수 있게 설정했는가’로 옮겨 갑니다. 핵심 질문이 달라집니다.

· 접근권한이 직무·등급별로 적절히 분리되어 있는가?
· 권한 없는 사람이 핵심 자료에 접근할 수 있는 상태가 방치되어 있지 않은가?
· 외부 공유 링크, 전체 공개 폴더처럼 통제가 풀린 경로가 없는가?

클라우드에서는 ‘누구나 열 수 있게 열려 있었다’는 사실 하나만으로 비밀관리성이 부정될 위험이 큽니다. 접근권한 설정 그 자체가 비밀관리의 핵심 증거가 되는 것입니다.

생성형 AI 입력 데이터 — 새로운 유출 통로와 관리의 사각지대

그런데 생성형 AI는 또 다른 층위의 문제를 만듭니다. 직원이 업무 효율을 위해 회사 자료를 외부 AI 서비스에 입력하는 순간, 그 자료는 기업의 통제 범위를 벗어나 외부 서버로 이동할 수 있습니다.

여기서 비밀관리성 관점의 쟁점은 ‘입력했다는 사실’ 그 자체가 아니라, 기업이 그 “입력을 통제하려는 체계를 갖추고 있었는가”입니다. 같은 자료를 AI에 넣어도, 사전에 입력금지 정보를 분류하고 규정과 교육으로 통제해 온 기업과, 아무 기준이 없던 기업은 전혀 다른 평가를 받습니다. 전자는 “직원 개인의 규정 위반”이라 말할 수 있지만, 후자는 “회사가 비밀로 관리하지 않았다”는 증거만 남깁니다.

즉 생성형 AI 환경에서 비밀관리성은 ‘입력을 막았는가’가 아니라 ‘입력을 관리하는 체계를 문서로 갖추고 운용했는가’로 판단될 여지가 큽니다. 이는 앞선 협회 글(《생성형 AI 사용과 영업비밀 보호: 기업이 갖춰야 할 5가지 기본 조치》)에서 다룬 조치들과 직접 연결됩니다.

로그와 증빙 — ‘관리했다’는 말은 기록으로만 증명된다

전통적 환경에서는 잠긴 캐비닛과 ‘대외비’ 도장이 관리의 증거였습니다. AI·클라우드 환경에서 그 자리를 대신하는 것은 “로그”입니다.

누가, 언제, 어떤 정보에 접근하고, 복사하고, 반출했는가. 이 기록이 없으면 기업은 사고 이후에 “우리는 비밀로 관리하고 있었다”를 증명할 방법이 없습니다. 반대로 로그가 있으면, 평소의 통제 사실과 사고의 경로를 함께 보여 줄 수 있습니다.

· 비밀 정보의 접근·다운로드·반출 로그를 남기고 일정 기간 보관한다
· 클라우드·협업 도구의 공유 설정 변경 이력을 확인할 수 있게 한다
· 퇴직 예정자의 비정상적 대량 접근·반출을 점검하는 절차를 둔다

디지털 환경에서 비밀관리성은 ‘상태’가 아니라 ‘기록’으로 증명된다는 점을 기억할 필요가 있습니다.

기업 관리체계 구축의 필요성

정리하면, AI·클라우드 환경에서 비밀관리성은 세 가지 방향으로 이동하고 있습니다. 통제의 축이 물리적 경계에서 접근권한으로, 관리의 대상이 보관에서 입력·공유 행위로, 증명의 수단이 표시에서 로그로 옮겨 가고 있습니다.

이 변화는 기업에 새로운 부담이 아니라 오히려 기회입니다. 접근권한을 정리하고, AI·클라우드 사용 규정을 두고, 로그를 남기는 일은 그 자체로 ‘비밀관리성을 증명할 수 있는 상태’를 만들어 줍니다. 이런 관리체계는 한 번에 완성되지 않으며, 조직의 데이터·권한·책임을 연결해 정리하는 지속적 작업입니다.

맺으며

개인정보는 시민의 권리, 영업비밀은 기업의 생명, 기술주권은 국가의 미래입니다. AI·클라우드 시대에 기업이 자기 비밀을 지킬 수 있느냐는, 결국 그 정보를 ‘관리하고 있었다’는 사실을 남길 수 있느냐에 달려 있습니다. 한국영업비밀보호협회는 변화하는 비밀관리성 기준을 기업이 따라갈 수 있도록, 실무 기준과 관리체계 모델을 함께 제시해 나가겠습니다.