Earticle

미국은 과학이 국가적 임무 수행에 매우 중요한 수단이 될 수 있다는 인식하에 연구보안 및사이버 보안 부문에서는 세계 최고의 기술력을 보유하고 있다. 최근 미국 정부는, 2003년 이후15년 만에 연방 차원의 ‘국가 사이버보안 전략’을 공개를 통해 보안 중심의 연구보안체계를 선진화 하고 있다. 이 전략은 글로벌 차원에서 사이버보안 관련 국제 협력을 이끌어 내기 위해 미국무부가 핵심이 되어 외교적 노력과 산업 증진 프로그램을 주도하는 특징을 가지고 있다. 우리나라도 ‘K-Shied Program’ 등을 통하여 사이버 보안인력을 중점적으로 양성하고 있으며, 국가연구개발 혁신법 제정 등 연구보안 및 산업보안에 많은 관심을 기울이고 있다. 이 논문은 미국 서부지역의 대학, 연구소, 기업 등의 연구소를 직접 방문하여 실제 보안업무를 총괄하는 CEO나 임원급 연구자 및 연구보안 실무자들의 경험과 노하우에 대하여 3시간 이상의 전문가 그룹 인터뷰(Focus Group Interview)를 수행한 결과를 요약 분석하였다. 또한, 현지기관과 우리나라 제도 비교 세미나 및 3회의 디브리핑(2회 국내, 1회 해외)을 15명의 연구보안 전문가와 토론하며 우리나라 연구보안법제 및 과학기술출연연구기관의 연구보안 정책 고도화에 많은 시사점을 도출하였다. 첫째, 자유로운 연구는 장려하되 보호가 필요한 연구는 엄격한 보안제도를 시행하는Two-Track의 보안 전략, 둘째 보안관련 연구를 수행하는 연구자 관계자들에게는 확실한 인센티브를 부여하되, 보안을 위반하는 자에 대해서는 관용을 두지 않는 Carrots & Sticks 보안 전략,셋째 사이버보안에 인공지능을 도입하여 빅데이터(Big Data)를 통한 스마트 24시간 연구보안체계를 구축하고 이상 징후에 대해서는 사전예방을 위한 상시모니터링 제도를 도입한 Smart &Tracking 보안전략, 넷째, 의사나 변호사처럼, 기존의 전공지식과 사회경험이 풍부한 전문가를보안관련 전문가로 양성하고 최고의 대우를 약속하는 Carrier & Development 연구보안전략은우리 연구보안 정책에 충분한 시사점을 제공해준다.

The U.S. maintains the world’s highest level of investment in science and technologyon the understanding that science can be a very important means of carrying out nationalmissions. In particular, research security and cyber security have the world’s best technicalskills. The Trump administration has recently advanced its research and security system witha focus on security through a federal cyber security strategy 15 years after 2003. Unlikein the past, the State Department has become the core to bring about internationalcooperation on cyber security at the global level, leading diplomatic efforts and industrypromotion programs. Korea is also training cyber security personnel through the K-ShiedProgram Dongdong, and it is preparing various things by paying great attention to researchsecurity and industrial security. In this paper, he visited universities, research institutes, andcompanies in the western U.S. and discussed with 15 researchers about three hours ofinterviews of expert groups (Focus Group Interview), about one local institution, and threeseminars on system comparison (two domestic, one overseas) to draw up a number ofresearch and security implications for Korea’s In this paper, we will take a look at theresearch security system in the U.S. and related statutes after organizing the research securitystrategy for each visiting institution. Later, I would like to suggest implications for the U.S.R&D strategy and future strategies.

재택근무라는 갑작스런 업무환경의 변화는 기존 보안정책의 한계를 보여주면서 중요하면서도 시급한 해결과제들을 던지고 있다. 그러나 사이버 보안을 중심으로 한 기술적 측면에서의 빠른 대응에 비해 정책수정의 검토나 조직 구성원의 보안수용도와 같은 보안문화 이슈 등에 대해서는 상대적으로 논의가 미흡한 실정이다. 시대와 문화의 변화, 그리고 재택이라는 특수 환경에서는, 보안을 위해 필요하다는 이유만으로 변화된 정책에 대한 조직 구성원의 실천을 당연히 요구할 수도 없고, 보안 교육과 홍보만으로 조직 구성원의 인식과 실천 문제가 해결되지 못할 수도 있다. 본 연구는 재택근무 환경에서 필요한 보안정책 연구에 선행하여, 현재의 보안정책 중 강화되어야 하는 정책들은 무엇인지를 보고, 이에 대한 기업 보안담당자와 일반직원의 인식 및 수용도의 차이를 비교 분석하고자 하였다. 연구 결과 보안위협이나 중요성 변화에는 모두 동의하였으나, 해결 방안에 대해서는 보안담당자와 일반직원 사이에 인식의 차이가 있는 것으로 나타났다. 정책은 환경의 변화에 대응하여야 하고, 동시에 그 대상들의 공감과 실천 수준이라는 수용도 향상을 고려해야 한다. 따라서 재택근무에 대해 필요한 기술적 보안조치를 넘어 신뢰와 책임 기반의 보안문화를 구현하기 위해서는 조직 구성원의 보안수용도 강화를 주요 지표로 측정하고 관리하는 것이 필요하다.

The rapid change in the working environment of telecommuting has led to a number of urgent security responses. While technical responses centered on cybersecurity are fast-progressing, discussions on security culture areas such as security policies and the security acceptability of employee are relatively insufficient. Requiring employee to accept inconveniences or constraints simply because they are needed for security cannot be justified, nor can security education alone solve problems. This study aims to compare and analyze the differences in the perception and acceptance of corporate security officers and general staff in what current security policies should be strengthened in teleworking environments. The study found that both security threats and changes in importance were agreed, but that there was a difference in perception between security officers and general employees about the measures. Security policies must respond to changes in the environment and at the same time consider the acceptability of employee. Therefore, it is necessary to measure and manage the acceptability of employee as key indicators to implement the security culture that is based on trust and accountability beyond the necessary technical security measures for telecommuting.

Digitalization의 촉발은 기업 활동에서 발생하는 다양한 형태의 데이터를 중요한 핵심자산으로 인식하는 소위 데이터 경제(Data Economy) 시대의 도래를 앞당기고 있다. 이러한 기업 환경변화는 기업들로 하여금 수많은 데이터를 수집․운영해야 하며, 이를 위해 각종 정보저장 매체의 활용과 더불어 이에 대한 보호를 보다 강화해야 하는 부담으로 작용하게 되었다. 그러나 현행법에서는 이와 같은 디지털 기기 등 정보저장 매체에 저장되어 있는 무형자산을 재물(자산)로 인정하지 않는 경우가 있어 관련 범죄가 발생한다고 하여도 관련 요건을 충족하지 못하면 처벌을 하지 못하는 경우가 발생하는 등 기업의 산업기술 등 무형자산 보안 활동에 큰 어려움으로 작용하고 있다. 이에 본 연구에서는 관련된 판례들을 살펴본 후, 이와 관련된 문제점에 대한 관련 전문가들의 의견 수렴과 더불어 이를 해결할 수 있는 실무적 대안 및 논의 동향 등을 살펴보았다.

Digitalization is accelerating the advent of the Data Economy era, in which various forms of data arising from corporate activities are recognised as critical core assets. Digitalization is accelerating the advent of the Data Economy era, in which various forms of data arising from corporate activities are recognised as critical core property(asset). However, the current law does not recognize intangible assets stored in information storage media, such as digital devices, as property(asset), which is a major challenge to a company's industrial security activities, such as when a related crime occurs but does not meet the relevant requirements. In this study, we looked at the relevant precedents, analyzed the current status of the problems related to them, gathered opinions from experts, and proposed practical solutions to solve them.

2018년 12월 ｢포괄적･점진적 환태평양 경제 동반자 협정(CPTPP)｣이 발효되었다. 바이든 행정부 출범에 따라 미국의 CPTPP 가입가능성이 높아지고 있고, 우리나라도 가입을 검토하고 있다. 본 논문은 CPTPP에 가입에 대비한 부정경쟁방지법상의 영업비밀 보호 관련 조항 개선 방향에 대하여 고찰하였다. CPTPP 제18.78조 제1항의 영업비밀의 개념과 관련하여 CPTPP는 TRIPs의 영업비밀 개념을 차용하고 있는데, TRIPs는 비밀관리성과 관련하여 ‘합리적 조치(Reasonable Steps)’를 명시하고 있다. 우리나라는 2019년 법 개정을 통하여 ‘합리적 노력’ 문구를 삭제하여, 이에 대한 해석이 중요하게 되었다. 법원은 ‘객관적 인식가능성’과 ‘비밀관리조치’를 대등한 지위에서 판단하고 있는데, CPTPP의 회원국이자 우리나라와 동일하게 ‘합리적 노력’ 문구가 없는 일본은 ‘객관적 인식가능성’을 우위에 두고 비밀관리성을 판단하고 있다. 따라서 우리나라의 판례의 재정립이 필요하다. CPTPP 제18.78조 제2항은 영업비밀의 부정취득, 사용, 공개와 관련하여 해킹 등 전자적 침해와 관련된 사항이 명시되어 있다. 미국, EU, 중국, 일본도 영업비밀 침해 유형으로 해킹 등 전자적 침해에 대한 사항을 열거하고 있다. 따라서 우리나라도 이를 영업비밀 침해 행위유형으로 명시하여야 할 것이다. CPTPP 제18.78조 제3항(d)의 영업비밀 국외유출 관련 단체범죄의 가중처벌과 관련된 사항에 대하여 검토가 필요하다. 미국은 외국경제스파이범처벌강화법(EEPE)의 제정으로 외국의 정부･기관･대리인을 위한 영업비밀 유출에 대한 처벌을 대폭 강화하였다. 일본도 부정경쟁방지법을 개정하여 영업비밀 침해에 법인과 같은 조직이 관여된 경우 법인 등에게는 벌금을 개인과는 차등을 두고 있다. 우리나라의 경우 영업비밀 침해시 법인에 대한 중과규정이 없다. 따라서 영업비밀의 국외유출과 관련된 단체범죄의 가중처벌에 대한 규정의 마련이 필요하다.

This paper analyzes the trade secret protection provisions of the CPTPP. It examines the direction of improvement of the trade secret protection provisions of the Unfair Competition Prevention Act(UCPA). Regarding the concept of trade secret in Article 18.78 Paragraph 1 of CPTPP, CPTPP uses the concept of trade secret from TRIPs, and TRIPs specify ‘Reasonable Steps’ in relation to confidentiality management performance. Korea deleted the phrase ‘reasonable effort’ through the revision of the law in 2019, and the interpretation of it became important. The precedents so far have judged ‘objective recognitionability’ and ‘secret management measures’ on an equal footing. However, Japan, which is a member of the CPTPP, is judging by giving priority to ‘objective recognition’ rather than ‘secret management measures’. Therefore, it is necessary to re-establish Korean precedents. Next, Article 18.78 (2) of the CPTPP relates to the illegal acquisition, use, and disclosure of trade secrets against hacking. Matters related to electronic infringement, such as hacking are specified here. The US, EU, China, and Japan also have regulations on electronic infringement, such as hacking. Therefore, even in Korea, this should be listed as a type of trade secret infringement. Lastly, it is necessary to review the matters related to the aggravated punishment of economic entity crimes related to outflow in Article 18.78 (3) of the CPTPP. With the enactment of the EEPE, the US has significantly strengthened the penalties for leaking trade secrets for foreign governments, institutions, and agents. Japan also amended the UCPA to impose heavy fines on corporations, etc., where organizations such as corporations are involved in trade secret infringement. In Korea, there are no strong penalties for corporations in case of infringement of trade secrets. Therefore, it is necessary to prepare regulations on the aggravated punishment of economic entity crimes related to the outflow of trade secrets.

최근 기업들이 ESG 경영에 집중하면서 기업의 이미지를 좋게 하고 이는 기업의 가치와 연결되어 곧 지속가능한 경영을 위해 필수적이라고 판단하고 있다. 하지만 그에 비해 국내에서는 땅콩 회항사건, 미스터피자 회장의 갑질 사건 등 다양한 종류의 ‘오너리스크’ 관련 사건들이 지속적으로 발생하고 있다. 또한 ‘갑질’에 대한 사람들의 부정적인 인식, 스마트 기기와 인터넷의 높은 보급률, 대중들의 다양한 SNS활동으로 인해 ‘오너리스크’ 관련 사건이 발생했을 경우, 그에 대한 파급력은 높아질 수밖에 없다. 이는 곧 기업의 이미지에 타격을 주어 기업의 재무성과에 영향을 줄 수 있다. 이에 본 연구는 ‘오너리스크’를 산업자산을 보호하고 손실을 방지하는 산업보안의 광의적 개념을 적용하여 기업의 이미지를 기업의 손실방지라는 측면에서 산업보안의 범주로 간주하였다. 이를 위해 본 논문에서는 2012년부터 2017년까지 6년 동안 국내에서 발생한 30개의 ‘오너리스크’ 사건들이 해당 기업에 끼친 객관적인 피해수준을 파악하기 위해 기업의 재무성과에 집중했고 그를 위해 사건연구(event study)방법을 적용하여 상장된 회사 20개의 주식 수익률을 통해 피해를 분석했다. 분석결과, 20개 중 15개의 ‘오너리스크’ 사건으로 인해 주식 수익률 피해를 입은 것을 확인할 수 있었다. 따라서 ‘오너리스크’는 기업의 이미지에 악영향을 끼쳐 기업의 재무성과에 영향을 미칠 수 있다는 점에서 산업보안사고로 보고 관리해야 할 필요가 있음을 알 수 있다. 본 연구는 ‘오너리스크’를 정의하고 유형을 구체화하며, 피해수준을 분석하여 ‘오너리스크’를 산업보안의 범주에 포함시키고자 한 것에 의의를 가진다.

Recently, companies have focused on ESG management, improving their image and judging that it is essential for sustainable management, which is linked to corporate values. On the other hand, various types of “owner risk” related incidents such as peanut return cases and Mr. Pizza’s Gapjil incident continue to occur in Korea. In addition, if there is an incident related to “owner risk” due to people’s negative perception of “gapjil,” the high penetration rate of smart devices and the Internet, and various social media activities by the public, the ripple effect will inevitably increase. This could impact the entity’s image and affect the entity’s financial performance. In response, the study considered ‘owner risk’ a category of industrial security in terms of prevention of loss of an entity by applying the broad concept of industrial security that protects industrial assets and prevents losses. To this end, this paper identified the damage caused by 30 “owner risk” incidents in Korea over the six years from 2012 to 2017. In order to understand the objective level of damage, the company focused on financial performance and applied the event study method to analyze the damage through the return on 20 listed companies’ stocks. According to the analysis, 15 out of 20 “owner risk” incidents caused stock returns to be damaged. Therefore, it is necessary to view and manage ‘owner risk’ as an industrial security accident in that it can adversely affect an entity’s image and affect an entity’s financial performance. This study is meaningful in defining and specifying ‘owner risk’ and in analyzing the level of damage and in putting ‘owner risk’ into the category of industrial security. This study is also meaningful in that it laid the foundation for new academic research related to ‘owner risk.’

이 논문은 데이터의 산업적·사회적 활용 촉진을 통한 효용 창출이라는 데이터 자산의 본질적 목적을 실현하면서 가장 쟁점이 되는 ‘데이터 보호(오너십)’와 ‘데이터 분석 시 면책’이라는 다소 상반되는 개념에 대한 국제적 논의와 주요국의 입법 동향을 비교·분석하고 적절한 대안을 제시하였다. 특히 데이터 오너쉽을 중심으로 학술적·이론적인 고찰만을 다룬 기존 연구와는 달리 데이터 보호 및 분석 면책에 대한 입법적 가이드를 제시하고 있다는 점에서 데이터 선도국은 물론 후발국에 도움을 줄 것으로 여겨진다. 데이터의 보호에 관하여 몇몇 국가의 입법례 및 학술적 논의를 검토한 결과, ① 데이터를 소유권으로 보호하자거나, ② 지식재산권과 유사한 배타적 권리로 보호하자는 주장 및 ③ 데이터를 부정경쟁 방지의 원리에 입각하여 보호하는 입법 프레임워크가 존재한다. 한편, 데이터 분석 과정에서 필연적으로 직면하게 되는 저작권 침해 문제를 해결하기 위해서 분석(TDM) 면책에 관한 몇몇 국가의 입법례를 검토하였다. TDM 면책에 관한 주요국의 입법례를 검토한 결과, ① 공정이용의 원리에 입각하여 TDM을 허용하는 경우, ② 입법을 통해 비영리적 목적에 한하여 TDM을 허용하는 경우, ③ 역시 입법을 통해 비영리적 목적 여부를 불문하고 TDM을 허용하는 경우가 존재한다. 이 논문은 데이터에 대한 “적절한 법적 보호”의 필요성과 방안을 제안하고 있으며, 그 대안으로서 “부정경쟁 방지 원리에 입각한 데이터 보호”를 주장한다. 예컨대 일본은 이미 이러한 입법례를 마련하였으며, 한국 또한 데이터에 대한 적절한 보호 및 데이터 산업발전을 위한 법적 체계를 준비하고 있다. 한편 주요국들은 TDM에 대한 저작권 예외를 허용하는 경향을 보이지만 그 허용 범위에 대해서는 차이를 보이고 있으며 개별 국가의 상황에 따라 판단할 문제라고 본다. 이 논문은 저작권자의 이익을 고려하되, 빅데이터 분석에 이용되는 음향, 영상, 이미지 등 저작물에 대한 모든 저작권자의 동의를 받는 것은 현실적으로 어려운 일임도 고려하도록 제안한다. 또한, GDPR을 비롯한 ｢개인정보 보호법｣이 민간기업이 과학적 목적을 위하여 정보주체의 동의없이 가명정보를 이용할 수 있도록 한 점 등도 입법의 방향성 설정에 있어서 고려하도록 제안하고 있다.

This study has realized the essential purpose of data assets, which is the creation of utility through the promotion of the industrial and social use of data. Furthermore, this work compared and analyzed international discussions and the legislative trends in major countries regarding the conflicting concepts of “data protection (ownership)” and “immunity for data analysis,” which are the most controversial issues, to present appropriate alternatives. Unlike previous studies that mainly addressed various theoretical discussions centering around data ownership, this study will help data leaders and latecomers in that it provides legislative guidelines for data protection and immunity for analysis. This study proposes the necessity of and measures for “appropriate legal protection” regarding data, and as an alternative, to maintain “data protection based on the doctrine of unfair competition.” Japan has already prepared such enactments, while South Korea has also been preparing a legal framework for the appropriate protection of data and development of the data industry. Meanwhile, this study considered the interests of copyright holders, and simultaneously, the practical difficulty in obtaining the consent of all copyright holders for works such as sounds, videos, and images used for big data analysis.

최근 애플, 구글 등을 비롯한 IT기업들이 기술보안을 강화하면서 정부와 대립하는 일련의 사건들이 발생하였다. 특히 스마트 전자기기 등에 대한 암호화가 일반화된 상황에서 국가안보, 아동 성범죄, 그 밖의 생명 신체에 대한 중대하고 긴급한 수사 필요가 인정될 때에도 기업의 협조를 받지 못해 어려움을 겪었다. 이 연구에서는 우선 피의자 또는 피고인에 대한 스마트 전자기기 등의 암호해제 강제가 헌법 제12조 진술거부권의 침해가 되는지 여부를 살펴보았고, 스마트 전자기기의 특수성을 고려할 때 해당 행위는 위헌적으로 평가하여야 한다고 하였다. 그리고 피의자 또는 피고인에게 스마트 전자기기 등의 암호해제를 강제할 수 없기 때문에 기존 ｢통신비밀보호법｣상의 기업 협조 요청과 같이 IT제조업체에 대해서 필요 정보에 접근할 수 있도록 협조를 요청할 수 있어야 한다고 하였다. 또한 영장주의와 적법절차원칙에 따라 통신제한조치보다는 엄격하고 좁은 범위인 국가안보, 아동 성범죄, 그 밖의 생명 신체에 대한 중대하고 긴급한 수사 필요가 인정될 경우에는 정보 수집이 가능하도록 하여야 한다고 주장하였다. 나아가 정부의 정보 압수 수색 및 증거 수집 절차에서 피의자 또는 피고인의 기본권 침해 사항을 개정하여야 하고, 독립적 지위가 인정되는 감독기구를 통해 국가감시권력이 남용될 수 있는 우려를 실질적으로 견제할 수 있도록 법제화하여야 한다고 하였다.

Recently, as IT companies such as Apple and Google have strengthened their technology security, a series of incidents have occurred against the government. In particular, in a situation where encryption for smart electronic devices has become common, it was difficult to get cooperation from companies when there was a need for serious and urgent investigations on national security, child sex crimes, and other lives. In this study, first, it was examined whether the enforcement of encryption by smart electronic devices on the suspect or the accused violates Article 12 of the Constitution, the right to refuse statements. And considering the specificity of the smart electronic device, the action should be evaluated as unconstitutional. Decryption of passwords such as smart electronic devices should not be forced on the suspect or the accused. Therefore, it is necessary to request cooperation from the IT manufacturer so that the government can access necessary information within the scope of minimizing the infringement of corporate freedom, freedom of expression, and copyright, as in the request for corporate cooperation under the existing CommunicationsSecret Protection Act. In addition, in accordance with warrants and due process, when serious and urgent investigations on national security, child sex crimes, and other lives are required, it should be possible to collect information within a narrower scope than the communication restriction measures. Furthermore, the government's information seizure, search and evidence collection procedures must revise the violation of the basic rights of the suspect or the accused. The entire legal system should be thoroughly reviewed so that the supervisory body, which is recognized for its independent status, can procedurally evaluate and effectively contain the abuse of state surveillance power.