TSMC·도요타 공장도 뚫렸다…해킹피해 3건 중 1건은 제조업

김진원 기자

입력2023.11.22 17:58 수정2023.11.23 11:07 지면A11

국정원 '산업보안 국제콘퍼런스'

"스마트팩토리 보안표준 필요
공정망·업무망 철저 분리해야"

한국에서 발생한 해킹 및 기술 유출 등 침해사고 세 건 중 한 건은 제조업체에서 일어난 것으로 나타났다. 스마트팩토리가 보급되는 시대에 맞는 보안 표준모델을 마련해야 한다는 지적이 나온다.

한국산업보안한림원은 국가정보원이 22일 서울 그랜드인터컨티넨탈호텔에서 연 ‘2023 산업보안 국제콘퍼런스’에서 최근 발생한 해킹 및 기술 유출 사고의 29.5%가 제조업종에서 터졌다고 밝혔다. 산업보안한림원은 국정원 제안으로 국내 주요 대기업 정보보호책임자(CISO)가 모여 설립한 보안 전문가 모임이다. 삼성 LG SK 현대 포스코 한화 효성 LS 등 10개 그룹 63개사가 회원사로 참여했다.

세계적으로도 제조업종을 노린 해킹 사고가 줄을 이었다. 올해 7월 대만 반도체회사 TSMC는 생산시설이 마비됐다. 직원 한 명이 악성코드에 감염된 USB를 작업용 PC에 잘못 꽂았기 때문이다. 해커는 감염된 데이터를 복구해주는 조건으로 7000만달러를 요구했다. 일본 자동차회사 도요타도 협력사가 랜섬웨어에 감염돼 공장 14곳의 가동이 중단됐다. 총 1만3000대의 차량 생산에 차질을 빚었다. 김상신 한림원 공정기술분과 연구위원은 “제품 생산 라인이 멈춰서는 안 되는 제조업 특성상 피해를 보면 신속하게 복구해야 한다”며 “공격자의 타깃이 되기 쉬운 구조”라고 설명했다.

전문가들은 스마트팩토리 공정망과 업무망을 철저히 분리하고 우회 경로를 꼼꼼히 제거해야 한다고 조언했다. 생산 설비를 폐기할 때도 주의를 기울여야 한다. 제조 레시피 등 정보를 완전히 삭제하지 않으면 해킹이나 기술 유출 피해를 볼 수 있다.

산업스파이에 의한 기술 유출 사고를 막기 위해선 양형 기준을 대폭 손봐야 한다는 의견도 나왔다. 피해액을 산정하기 어렵다는 것이 감형 사유로 인정되는 점이 문제라는 것이다. 임형주 법무법인 율촌 변호사는 “기술 개발에 들어간 비용을 손해액으로 인정하는 영국과 미국의 법체계를 한국 법원에서도 참고할 필요가 있다”고 말했다.

김진원 기자 jin1@hankyung.com

관련 뉴스

1

미국은 징역 20년 때리는 '기술유출'…한국은 고작 집행유예

#1. 국내 한 기업에 근무하던 A씨는 3나노 반도체 생산기술을 유출한 혐의로 넘겨졌지만 법원은 징역 1년에 집행유예 2년, 벌금 1000만원을 선고했다. 다른 기업으로부터 자율주행 라이다 기술을 유출한 B씨 또한 법원에서 징역 1년 6월에 집행유예 3년을 선고 받았다.#2. 피고인 리우씨는 미국 D화학회사에 근무하던 전 직원을 자신의 회사 컨설턴트로 고용하고, 그를 통해 공정 기술을 훔친 뒤 거액을 받고 중국 기업 P사에 판매했다. 미국 법원은 리우씨에 180개월의 징역형을 선고하고 2780만달러를 몰수하도록 했다.1번과 2번 사례는 산업기술유출 범죄에 대한 한국과 미국 법원의 극명히 다른 판단과 처벌 기준을 보여준다. 이 같은 국내 법원의 산업기술 범죄 솜방망이 처벌에 대한 문제점을 지적하는 행사가 22일 열렸다. ○韓, 기술개발 기여했다며 유출해도 처벌 줄여산업통상자원부와 국가정보원이 이날 연 ‘산업보안 컨퍼런스’에서 임형주 법무법인 율촌 변호사(사법원수원 35기)는 한국과 미국과 기술유출 피해액 산정의 차이점과 양형사례를 분석해 발표했다. 임 변호사는 서울대 공대를 나와 다수 국가핵심기술 관련 사건을 맡은 전문가다.임 변호사는 국내 법원이 ‘수사를 통해 범죄행위가 사전에 적발돼 영업비밀이 유출되지 않은 점’을 유리한 양형 사유로 삼고 있다고 지적했다.실제 대법원은 2019년 이를 ‘영업비밀이 외부로 유출되지 않고 회수돼 실제 사용되지 않았다’며 피고인에게 징역 1년과 집행유예 2년을 선고했다.국내 법원은 또 △영업비밀이 외부로 유출됐지만 실제로 사용되지 않은 경우 △유출됐지만 피해자 손해가 현실화되지 않은 경우도 유리한 양형 사유로 삼았다.지난해 대법원이 ‘(기술이 유출됐지만) 이로 인해 입은 손실의 구체적인 규모가 확인되지 않는 점’을 양형에 참작해 피고인에게 징역 1년과 집행유예 2년을 선고한 게 대표적이다.심지어 국내 법원은 ‘영업비밀 유출자가 영업비밀 개발에 기여한 경우’에도 유리한 정상으로 참작했다. 사실상 ‘기술을 개발했으니 기술을 유출해도 될 만한 사유가 있다’는 판단을 한 셈이다.임 변호사는 이에 대해 “영업비밀 보유자는 피고가 아니라 피해회사”라며 “유출자가 기술개발에 기여했다는 점과 범죄에 대한 처벌 경감 사이에 논리적 근거를 찾기 어렵다”고 지적했다. ○美, 미수 그쳐도 유출범이 의도한 피해액으로 계산미국은 다르다. 미국은 피해액에 따라 기술유출을 최고 36등급의 범죄로 상향할 수 있고, 이 경우 188개월(15년 8개월)에서 최대 405개월(33년 9개월)의 징역형을 내릴 수 있다.또한 실제 피해가 발생하지 않았더라도 연구개발 비용을 피해액으로 산정해 형벌을 부과하고 있다. 중국 경제스파이인 Xu가 GE사의 엔진 기술을 탈취하려 한 사건을 다룬 ‘US v. Xu’ 판결이 대표적이다.기술탈취가 미수에 그쳤음에도 미국 법원은 “피고인이 피해 회사에 실제 끼치고자 의도한 피해액을 본 사건의 피해액으로 계산해야 한다”고 판단하고 Xu에게 240개월(20년)의 징역을 선고했다.임 변호사는 한국의 기술유출 범죄 양형 기준을 강화해야 한다고 지적했다. 현재 양형에서 처벌 감경요소인 ‘실제 피해가 경미한 경우’ 조항을 삭제하고 손실산정에 기술개발 비용을 고려해야 한다는 얘기다.안덕근 산업부 통상교섭본부장은 “날로 교묘해지고 다양해지는 기술유출 수법에 대해 적극 대처하기 위해 법제도 개선을 추진하겠다”고 말했다. 김규현 국정원장은 “대한민국의 미래를 책임질 기술보호 활동에 전력을 다하겠다”고 밝혔다박한신 기자 phs@hankyung.com
2

산업스파이 초범이면 '兆단위 기술' 훔쳐도 집행유예

삼성전자 상무와 하이닉스 부사장을 지낸 반도체 전문가 최진석 씨(65)가 지난 5월 국가정보원과 검찰에 체포됐다. 삼성전자 화성공장 16라인을 중국에 통째로 복제하려 했기 때문이다. 죄목은 산업기술보호법 및 부정경쟁방지법 위반이다. 중국 청두시와 합작사 CHJS(청두가오전)를 설립하는 과정에서 반도체 공장 기초공정데이터(BED)와 공정 배치도, 설계 도면 등을 빼돌리려 했다는 게 사정당국의 설명이다.CHJS 설립은 최씨가 대만 폭스콘에서 약정받은 8조원 규모 투자가 불발되면서 좌초했다. 사정당국은 이미 넘어간 기술만으로도 한국 반도체업계가 최소 3000억원에 이르는 피해를 본 것으로 추산하고 있다. 최씨 측은 기술 유출이 아니라 정당한 합작사 설립 및 인재 영입 과정이었다고 주장하며 혐의를 부인하고 있어 법정 공방은 장기화할 전망이다. 구속 상태에서 재판을 받던 최씨는 보증금 5000만원을 내고 지난 10일 보석으로 풀려났다.반도체 기술 유출 네 배 증가14일 국정원에 따르면 지난 5년간 적발된 기술 유출 사건 104건 중 60건(58%)이 반도체와 디스플레이, 2차전지 등 국가전략기술과 관련돼 있다. 조선과 자동차, 기계 등의 분야에 집중됐던 산업스파이의 활동 범위가 첨단 산업으로 확대된 것이다. 국정원은 최근 5년간 국가전략기술 유출로 기업이 본 피해액을 25조원 규모로 보고 있다.반도체 관련 기술 유출 시도가 부쩍 늘었다. 2018년부터 올해 7월까지 5년여간 발생한 사건만 30건으로 2013~2017년(7건) 대비 네 배 이상으로 증가했다. 반도체 기술 유출은 주로 퇴직자나 협력사를 통해 이뤄졌다. 반도체 웨이퍼 연마제·연마 패드 제조사 직원 A씨(55) 사례가 대표적이다. 2019년 6월 임원 승진 인사에서 누락된 그는 중국 업체와 동업해 회사를 차리고 반도체 연마제 생산설비를 구축했다. 웨이퍼 연마제와 연마 패드를 제조하는 기술은 국가전략기술로 분류돼 산업기술보호법 관리 대상에 속한다.A씨는 업무용 PC로 회사 내부망에 접속해 기밀 자료를 열람했다. 휴대폰으로 사진을 찍은 뒤 중국으로 유출했다. 특허청은 국정원 산업기밀보호센터, 대전지검과 공조 수사해 A씨 일당을 재판에 넘겼다. 이들이 유출한 기술의 경제적 피해 규모는 연구개발비와 세계 시장 규모, 한국 업체의 시장 점유율 등을 고려할 때 최소 1000억원 이상으로 추정된다.2021년 12월 재판에 넘겨진 웨이퍼 이송장치(OHT) 첨단기술의 중국 유출 사건도 반도체업계에 경각심을 불러일으켰다. OHT는 반도체 공장 등에서 천장에 설치된 레일을 따라 정밀 부품을 자동 이송하는 설비다. 반도체 웨이퍼를 이동시키는 스마트팩토리 구현의 핵심 설비다. OHT를 제조하는 코스닥 상장사의 협력회사 임원 B씨(47)는 OHT 도면과 기술자료를 중국에 있는 일본 업체에 빼돌렸다. 이 기술 유출로 국내 기업은 최소 1150억원 넘는 손해를 본 것으로 추산된다.법원 “개인적 이익 적다” 집행유예국가전략기술을 유출하려는 시도는 더 교묘해지고 있다. 2003년 국정원 산업기밀보호센터가 출범할 당시만 해도 외국 경쟁사가 핵심 기술을 보유한 직원을 스카우트하는 수준이었다. 최근의 국가전략기술 유출 시도는 합법과 불법의 경계를 오간다. 산학협력과 기술 컨설팅을 빙자해 기술을 빼돌리고 클라우드와 SNS도 활용한다.중국 ‘천인계획’(해외 고급 인재 영입 프로젝트)에 연루된 KAIST 교수가 대표적인 사례로 꼽힌다. 그는 2020년 중국 충칭이공대 자율주행자동차 연구 과제에 참여하며 국가 연구개발(R&D) 과제로 개발한 라이다 기술 성과물을 빼돌렸다. 라이다는 자율주행차의 눈으로 불리며 10년 내 1300조원대 시장을 형성할 것으로 기대되는 장치다. 기술을 유출한 교수는 개인적으로 얻은 이익의 규모가 크지 않다며 징역 2년에 집행유예 3년을 선고받고 항소심을 진행 중이다.2015년에는 인도 국적 연구원이 현대중공업 대우조선해양 삼성중공업에 재직하며 석유시추선 등 특수선박 전기장치 설계도면 320개를 이동식저장장치(USB)에 담아 유출했다. 설계도면 가치를 모두 더하면 3조원에 달한다. 하지만 법원은 실질적인 피해가 발생하지 않았다며 징역 10개월에 집행유예 2년을 선고했다. 이 연구원이 본국으로 귀국하며 처벌이 마무리됐다. 국정원 관계자는 “적발된 사례는 빙산의 일각일 수 있다”며 “산업기술에 대한 국가 차원의 체계적인 보호 방안 마련이 필요하다”고 지적했다.김진원 기자 jin1@hankyung.com
3

산업 스파이 4년간 1310명…6개월 이상 징역은 '0명'

특허청 기술경찰이 검찰에 송치한 산업재산권(특허·영업비밀·디자인·기타) 침해 사범 1310명 중 6개월 이상 징역형을 선고받은 피고인이 한 명도 없는 것으로 확인됐다. 법원의 솜방망이 처벌이 국가 핵심기술 유출을 키운다는 지적이 나온다. 14일 한국경제신문이 2019년 3월 특허청 기술경찰 수사업무 개시 후 올해 10월까지 검찰 송치 피의사건 처분을 전수 분석한 결과, 산업재산권 침해 사범 1310명 중 벌금형 이상 처벌을 받은 피의자는 31명이었다. 이 가운데 4명만 징역형을 선고받았다. 모두 6개월 미만의 형량이었다. 벌금형도 100만원 이상 500만원 미만이 20명으로 대다수를 차지했다. 500만원 이상 1000만원 미만 형을 받은 인원은 7명에 불과했다.법원이 적용한 다양한 감경 사유가 솜방망이 처벌로 이어졌다는 분석이다. 산업기술보호법에 따르면 국가 핵심기술 해외 유출에 대한 형량은 3년 이상의 유기징역이다. 그러나 법원은 △초범 △진지한 반성 △기업의 피해 복구 등의 이유를 들어 형량을 낮췄다. 산업재산권을 침해당한 회사가 영업비밀 관리 등을 소홀히 했다는 이유로 감형이 이뤄지기도 했다. 피해액을 정확하게 산정하기 어려운 경우에도 형량이 내려갔다.솜방망이 처벌 논란과 맞물려 기술 유출 사건은 매년 늘고 있다. 특히 기술 유출과 관련 깊은 영업비밀 사범은 2019년 20명에서 올해 105명으로 다섯 배로 증가했다. 특허청 관계자는 “영업비밀 등 산업재산권 해외 유출 범죄의 양형을 엄정하게 개선하고 기술 유출 피해액을 산정하는 객관적인 가치평가를 조속하게 마련해 도입할 필요가 있다”고 말했다.기술 유출과 관련한 수사는 특허청 기술경찰과 대검찰청 기술유출범죄수사지원센터, 국가정보원 산업기밀보호센터, 경찰청 국가수사본부 등이 나눠 맡고 있다.김진원 기자 jin1@hankyung.com