<인싸잇>은 SK하이닉스 사업장에서 발생한 직원 또는 협력사 관계자 등의 산업기술유출 및 영업비밀 누설 등 사건에 관한 최근 2~3년간의 판례를 전수 분석해, 그중 중요 사건 다섯 건을 추렸습니다. 각 사건의 발생 원인과 문제점 등을 여러모로 살핀 연속 보도를 통해, SK하이닉스의 보안 개선 방안을 짚어보고자 합니다.

 

 

인싸잇=한민철 편집국장 ｜ 지난 2013년 SK하이닉스에 입사한 중국 국적의 J씨는 입사 10년 만인 2023년 11월 해고와 동시에 경찰 조사를 받게 됐다. 퇴사 과정에서 회사의 기밀을 유출하려다 적발됐기 때문이다.

 

SK하이닉스에서 반도체 검사회로 설계 업무를 담당하던 J씨는 2023년 8월경 유럽계 반도체 회사에 이직하기로 마음먹고, 퇴사 후 활용할 목적으로 그동안 SK하이닉스 업무에 다뤄오던 내부 자료를 빼내기 시작했다고 한다.

 

당시 J씨는 SK하이닉스의 사내 업무 포털에 접속해, SSD 컨트롤러의 검사회로 설계 기술 등의 자료를 자신의 구글 블로그에 ‘복사+붙여넣기’하는 방식으로 유출했다. 여기에는 SK하이닉스가 다년간의 연구개발을 통해 완성한 반도체 분야 첨단기술이 포함돼 있었다.

 

그는 그렇게 두 달 동안 사측의 감시망을 피해 약 290회에 걸쳐 관련 기술의 내용을 자신의 블로그에 옮겼다.

 

불행 중 다행으로, J씨가 퇴직 절차를 밟는 과정에서 SK하이닉스는 그의 기밀 유출 정황을 뒤늦게 포착했다. J씨는 사측의 적발로 구글 블로그에 게시한 내부 자료를 전부 삭제 처리했다.

 

그런데 이틀 뒤 그는 다시 사무실에 복귀해 기존과 같은 방식으로 사내 업무 포털에 접속했다. 이번에는 구글 블로그에 복사+붙여넣기 하는 방식이 아닌, 유출하려는 기밀 자료 파일을 모니터에 열어 둔 채 자신이 가지고 온 아이패드에 해당 내용을 그대로 베껴 입력했고, 이를 가지고 그대로 회사 문을 빠져나갔다고 한다.

 

아무리 이직이 정해졌다고 하지만, 10년 동안 자신의 흔적과 열정과 인연이 녹아든 일터에서 끝맺음을 기술 유출 범행으로 정한 것이다.

 

결국 SK하이닉스는 J씨를 해고하면서 경찰에 넘겼고, 그는 산업기술 유출과 영업비밀 국외 누설 등의 혐의로 기소됐다. J씨는 올해 1월 법원으로부터 유죄가 인정돼 징역 3년형(집행유예)을 선고받았다.

 

 

나흘간 매일 300여 장 기밀 인쇄해 빠져나간 中 직원

 

SK하이닉스는 J씨의 기술유출 사건이 일어나기 1년 전, 또 다른 중국 국적의 직원 L씨로부터 유사한 피해를 입었다.

 

L씨는 국내 명문대학교의 이공계 학사 및 석사 학위를 취득한 뒤, 지난 2013년 SK하이닉에 입사했다.

 

그는 SK하이닉스의 반도체 기술 연구·개발 업무를 수행하는 과정에서 2020년 중국 상해 지사로 파견근무를 가게 됐고, 그곳에서도 동일 업무를 담당했다고 한다.

 

그런데 L씨는 지난 2021년 12월 말 회사 승진 명단에서 탈락한 데 불만을 품게 됐고, 중국계 반도체 회사 구직에 나선 끝에 2022년 6월 화웨이에 최종 합격했다.

 

L씨는 이로부터 보름 뒤, SK하이닉스 상해 근무지에서 나흘에 걸쳐 회사 컴퓨터로 영업기밀 문서를 출력했다. 해당 자료에는 SK하이닉스가 HKMG(High-K Metal Gate) 공정을 도입한 세계 최고 모바일 D램(DRAM) 기술이 포함돼 있었다.

 

당시 그가 나흘간 인쇄한 자료의 양은 어마어마했다. 첫날 355장, 이튿날 306장, 셋째 날 377장, 넷째 날 271장으로 총 1309장에 달했다. 이것도 한 페이지에 2장씩 모아찍기한 것으로, 실제 4000장 이상의 문서를 인쇄한 것이다.

 

L씨는 해당 문서를 가방과 쇼핑백에 나눠 담아 아무런 제재도 없이 회사에서 빠져나왔다고 한다. 그는 마지막 인쇄를 마친 바로 다음 날인 2022년 7월 1일, 당당하게 한국에 입국해 SK하이닉스 이천 본사로 복귀한 뒤 보름이 지나 퇴직 절차를 밟았다.

 

J씨의 사례와 같이 더 심각한 문제는 기술유출 행위에 대한 사측의 적발 이후에 발생했다.

 

 

앞서 언급했듯이 L씨는 다량의 영업기밀 문서를 2022년 6월 말에 나흘에 걸쳐 인쇄했고, 7월 1일 SK하이닉스 한국 본사에 복귀해 7월 15일경 퇴직 신청을 했다.

 

다행히도 당시 하이닉스 보안팀은 L씨가 상해에서 다량의 문서를 출력한 행위를 이미 인지하고 있었고, 그가 퇴사 면담을 요청하자 본격적으로 보안 검사에 돌입했다.

 

L씨도 결국 사측의 추궁에 문서 인쇄 사실을 털어놨는데, “인쇄물 일부를 이미 파쇄했다”며 “자료를 인쇄한 건 이직의 목적이 아니라 시장값이 얼마인지 알기 위한 목적이었다”고 해명했다고 한다.

 

SK하이닉스 보안팀은 상해 지사에 그의 말대로 인쇄물이 남았는지 확인해봤지만 찾을 수 없었고, 그의 컴퓨터 및 휴대폰의 포렌식 작업에 돌입했다.

 

그런데 7월 25일, L씨는 SK하이닉스 소속 부서 팀장에게 “몸 상태가 좋지 않아 휴가를 가야 할 것 같다”는 내용의 메시지를 보낸 뒤 당일 인천공항을 통해 중국으로 돌아갔다.

 

이후 L씨는 상해 지사에도 모습을 드러내지 않은 채 잠적했고, SK하이닉스는 뒤늦게 징계자도 참석하지 않은 징계위원회를 열어 그에 대한 해고를 결의했다. 누가보더라도 큰 의미 없는 사후약방문에 불과했다.

 

그가 유출한 인쇄물과 정보가 어디에 보관돼 있고, 또 어디에 쓰였는지 등 사건의 실체적 진실을 제대로 파악할 수 없었고, L씨에 대한 제대로 된 징계와 법적인 처벌도 이뤄지지 못했으니 말이다.

 

그렇게 약 2년 후인 2024년 4월, L씨는 황당하게도 제주도로 여행을 왔다가 경찰에 긴급체포됐다.

 

그렇게 그는 산업기술 유출과 영업비밀 국외 누설 등의 혐의로 기소됐고, 1심에서 징역 1년 6개월에 벌금 2000만 원을 선고받았지만, 지난해 5월 항소심에서 징역 5년에 벌금 3000만 원을 선고받았다. L씨는 이에 불복해 상고했지만, 8월 대법원은 상고를 기각하며 형을 확정했다.

 

개인의 일탈 탓하기 전 돌아봐야 할 ‘부실한 보안 실태’

 

중국인 전 직원 J씨와 L씨의 기술유출 사건이 발생한 당시 SK하이닉스는 아직 AI(인공지능) 슈퍼 싸이클을 타기 전이었다. 하지만 삼성전자와 함께 국내 산업계를 지탱하고 있었고, 무엇보다 반도체 회사인 만큼 보안을 곧 생명처럼 중시해야 하는 건 두말할 필요가 없었다.

 

특히 SK하이닉스는 당시 역대급 불황을 겪는 동시에 치열한 글로벌 반도체 경쟁 속에서 있었다. 그 긴장의 연속에서 중국인 직원의 황당한 산업기술 유출 행위가 이뤄졌던 것이다.

 

물론 사건의 원인은 1차적으로 문제를 일으킨 중국인 직원 J씨와 L씨 개인에 있다.

 

하지만 사측 역시 보안상 허술함에 피해를 키웠다는 지적을 피할 수 없다. 앞서 언급했듯이 J씨의 범행에서 직원이 회사 내부 사이트에 접속해 개인 블로그에 기밀 자료를 복사+붙여넣기가 버젓이 이뤄졌고, 이를 무려 두 달 뒤에야 사측이 겨우 파악했다는 건 심각한 문제라고 할 수 있다.

 

SK하이닉스 측이 J씨의 이러한 행위를 인지하고도 내부 사이트 접속 권한이나 그 시도를 차단하지 못하면서, 그가 재차 사내 업무 포털에 접속해 기밀 자료를 아이패드에 옮겨 적는 대담한 2차 범행까지 가능케 했다는 지적도 피할 수 없다.

 

L씨의 사건은 J씨 사례보다 더 심각하고 볼 수 있다. 아무리 중국 상해 지사라고 하지만, 반도체 회사에서 일반 직원이 나흘에 걸쳐 매일 약 300장의 내부 자료를 인쇄해 쇼핑백에 넣고 사내 보안팀에 적발도 되지 않은 채 유유히 밖으로 빠져나간 사건이다.

 

 

향후 알려진 바에 따르면, 당시 SK하이닉스 국내 본사와 달리 상해 지사는 비용 문제 등으로 인해 보안검색대 등이 설치되지 않았고, 당연히 자료 유출에 취약할 수밖에 없었다.

 

특히 원칙상 상해 지사에서는 본사에서만 취급하는 영업비밀 문서에 관한 열람 권한이 주어지지 않아야 할테지만, L씨가 본사에서 상해 지사에 파견한 직원으로 취급돼 여전히 본사 문서에 접근할 수 있었다.

 

L씨에 대한 사건의 1심·항소심 재판부는 “SK하이닉스 상해 사무실에 있는 일반 직원들과 다르게 피고인 L씨는 본사에서 파견된 직원으로, 본사에서 부여받은 권한으로 접근할 수 있는 문서의 범위가 상당히 넓었다”며 “피고인은 화웨이로 이직이 확정된 상태에서 ‘보안이 허술한 상해 사무실’에서의 근무가 만료되기 전에 다량의 출력을 한 것으로 의심된다”며 상해 지사가 보안이 허술했다는 점을 강조했다.

만약 2024년 4월 L씨가 제주도에 놀러 오는 어처구니 없는 일만 저지르지 않았더라도, 이 사건은 아직도 범인을 잡지 못한 채 여전히 미궁에 속에 갇혀 있었을 것이다. 상해 지사의 허술한 보안 실태는 차치하더라도, L씨가 중국으로 도망가는 과정에서의 대처를 두고 스스로 피해를 키웠다는 지적도 나온다.

 

당시 사건을 겪으며 SK하이닉스는 개선해야 할 점이 많았다. 가장 중요한 건 단순히 보안서약서만 작성하면 직원들이 내부 기술을 유출하지 않을 것이라는 순진한 생각을 버려야 한다는 것이다.

 

L씨의 사례처럼 외국인 직원의 경우 내부 보안검사 과정에서 본국으로 돌아가면, 아직 수사기관을 통해 범죄혐의가 특정되지 못한 만큼 사실상 국내로 송환해 조사하기 쉽지 않다. 이에 기술을 유출한 것으로 의심되는 외국인 직원들의 경우, 초기에 더 신속하고 철저한 보안검사가 필요하다.

 

또 해외 사무소에 국내 본사 수준의 보안 시스템을 적용하는 점 그리고 기술 유출이 의심되는 직원에 대한 내부 정보 접근에 완전한 차단, 사내 자료 다량 인쇄에 대한 철저한 관리 등도 여러 개선책이 필요하다는 지적이 나온다.

 

지난해 본지는 해당 사안에 관한 보완 및 개선 여부에 대해 SK하이닉스 측에 질의했지만, 답변을 얻지 못했고 심지어 언론 담당자로부터 연락 차단까지 당했다. 이에 사측이 위 사건에서 발견된 문제점에 관한 개선이 그다지 중요하지 않다고 판단하고 있는 것인지, 아니면 여전히 이를 개선하고 있는지를 명확히 알 수 없는 상황이다.