5일 전

음침하지만 흥미진진한 세계··· '산업 스파이' 분야 집중분석

Josh Fruhlinger | CSO

‘스파이’는 국가 차원으로만 활동하지 않는다. 기업들 또한 경쟁 기업을 염탐하고 있다. 일부 활동은 합법적으로 이뤄지지만, 이러한 산업 스파이 활동은 으레 범죄로 이어지기 쉽다.

산업 스파이, 경제 스파이 등으로 불리는 기업 스파이 활동은 상업적, 재정(재무)적 목적에 정탐(스파이, 첩보) 기법을 활용하는 활동이다. 스파이 활동이라는 표현은 특정 국가를 위해 다른 국가에서 정보를 빼내려 시도하는 그런 스파이 및 스파이 활동이 연상된다. 그러나 실제는 기업 스파이에도 동일한 기법이 다수 사용되며, 국가 스파이가 기업 스파이인 경우도 많다.

Image Credit : Getty Images Bank

산업 스파이 활동의 종류
리갈매치(LegalMatch)는 산업 스파이 활동으로 분류할 수 있는 몇몇 기법을 정의해 소개하고 있다.

- 경쟁자 시설이나 부지에 무단 침입하거나, 승인 없이 파일에 접근하는 행위
- 경쟁 기업의 영업 비밀이나 다른 비밀 정보를 입수하기 위해 경쟁 기업의 직원을 가장하는 행위
- 경쟁자에 대한 도청 행위
- 경쟁자의 컴퓨터 해킹
- 맬웨어로 경쟁자의 웹사이트를 공격하는 행위

그러나 이런 영화 같은 기업 스파이 활동만 있는 것이 아니다. 불만을 가진 직원, 경쟁자가 정보를 빼내기 위해 몰래 고용한 직원 등 내부자가 영업 비밀을 빼어내 넘겨주는 단순한 스파이 활동이 아주 많다.

그리고 이른바 CI(경쟁 정보) 활동이 있다. 정보기술 분야에 비유하면 ‘화이트 햇 해킹’에 해당하는 기업 스파이 활동이다. CI 회사들은 CI 활동이 합법적이며 ‘공명정대’한 행보라고 주장한다.

인수 및 합병, 새로운 정부 규제, 블로그 게시물, 소셜 미디어 게시물 등 고객의 활동에 영향을 주는, 크게 봤을 때 공개된 정보를 수집해 분석한다. 경쟁사 임원의 배경적 정보를 조사할 수도 있다. 그러나 지저분한 정보를 찾는 것은 아니다. 동기를 이해하고, 행동을 예측하는 데 목적이 있다. 그러나 원칙적으로 그렇다는 주장이다. CI 사업자와 범죄자를 구분하기 힘든 경우도 있다.

민간기업이나 단체가 다른 민간기업이나 단체를 대상으로 기업 스파이 활동을 하는 것만도 아니다. 정부가 끼어드는 경우도 있다. 특히 국영기업이 많고, 경제 발전을 중요한 국가 목표로 추구하는 국가들이 기업 스파이 활동을 하는 사례가 많다.

그 결과, 상대 국가나 정부도 다양한 정도로 관여를 하게 된다. 예를 들어, 트럼프 미 대통령이 중국과 무역 전쟁을 하게 된 주요 이유 중 하나가 중국이 미국에서 ‘영업 비밀'을 훔치는 것을 막기 위해서다. 이렇게 국가가 관여하는 기업 스파이 활동을 경제 스파이 활동이라고 부른다.

산업 스파이 활동은 범죄일까?
외국 국가를 상대로 한 스파이 활동과 달리, 민간기업을 상대로 한 스파이 활동은 불법이 아닐 것이라고 생각하는 사람들이 많다. 실제로 합법적인 수단과 도구를 이용해 경쟁사에 대한 정보를 획득하는 것은 불법이 아니다. 심지어 비밀리에, 또는 상대방을 속이거나 기만해 정보를 획득하는 것도 합법적인 활동이 될 수 있다. 예를 들어, 경쟁사 매장에 ‘가짜 비밀 쇼핑객’을 보내 영업 방식을 파악하거나, 사설 탐정을 채용해 무역 박람회 등에서 정보를 입수할 수 있다.

그러나 이 정도를 넘어설 경우, 합법성이 유지되기란 아주 어렵다. 일반적으로 소유주의 동의나 승인 없는 영업 비밀(비즈니스에 금전적인 가치가 있는 상업 비밀) 입수는 불법이다.

미국에는 ‘1996년 경제 첩보활동 법(Economic Espionage Act of 1996)’이라는 기업 스파이 활동에 대한 연방 법이 존재한다. 사상 처음으로 (비밀 정보나 국가 방위에 대한 정보가 아닌) 상업 비밀 탈취를 연방 범죄로 규정한 법이다. 이 법은 또 영업 비밀을 상세히 명문화해 정의하고 있다. 기업 스파이 활동에 대한 처벌도 규정하고 있다. 수백, 수천 만 달러의 벌금이나 수년의 징역형이 부과될 수 있다. 이 법은 영업 비밀을 외국 기업이나 정부에 넘긴 사람들을 가장 엄격히 처벌하며, 이를 추구한다. 이 법에 따라 처음 유죄 판결을 받은 범죄자가 중국에 영업 비밀을 판 보잉 엔지니어라는 점이 이를 입증한다.

그러나 모든 기업 스파이 활동이 형사 기소 대상이 되는 것은 아니다. 이와 관련, 미국 법무부는 형사 기소 대상에 대한 가이드라인을 제시하고 있다, 이는 다음 요소로 구성된다.

- 범죄 활동의 범위(외국 정보나 외국인 행위자가 관여했거나, 외국 중개가 있었다는 증거 등).
- 영업 비밀 소유주에 초래되는 경제적 피해의 정도
- 악용된 영업 비밀의 종류
- 가용한 민사적 구제 절차의 효과성
- 기소에 따른 잠정 억지력(가치)

그러나 기소 대상이 아닌 행위라고 해서 합법적인 행위라는 의미는 아니다. 법 위반이 민사 법정의 소송에 대한 근거 및 증거로 쓰일 수 있다. 또 연방 법보다 더 엄격한 주 법을 제정한 주 정부가 많다.

예를 들어 HP의 ‘프리텍스팅(Pretexting)’ 사건의 경우(뒤에 더 자세히 설명), 연방 법 아래 불법이 아니었지만 주 법에서는 불법이었다. 이에 1,400만 달러의 벌금이 부과됐다.

기업 스파이 활동 사례 연구
보안 벤더인 시큐로닉스(Securonix)는 전형적인 기업 스파이 활동과 관련된 좋은 사례 하나를 소개하고 있다.

USC(University of Southern California) 박사 과정 동급생 2명이 몇몇 미국 기술 기업에서 몇 년 간 일하면서 천천히, 그러나 아주 계획적으로 중국의 공모자에게 데이터를 넘겼다. 훔친 지적 재산을 이용해 중국에서 창업을 하려는 계획이었다. 시큐로닉스는 여기에 사용된 기법 및 방법, 공격자들의 합법 행위, 불법 행위에 대해 설명을 하고 있다.

기업 및 산업 스파이 활동 사례
기업 스파이 활동과 관련된 '팩트’ 한 가지는 피해자가 사태를 파악한 경우를 포함, 보고되지 않는 사례가 아주 많다는 것이다. 피해자의 평판이 훼손될 수 있어 이를 알리지 않는다. 보안 실사가 철저하지 않았다는 과실로 인한 평판 하락이 공격자를 대상으로 한 법적 조치에 따른 이점보다 중대하기 때문이다. 그럼에도 불구하고 세상에 알려진 기업 스파이 활동 또한 많다.

- 도망친 VP. 다크 웹 데이터 인텔리전스 신생 창업회사인 테르비움 랩스(Terbium Labs)를 창업한 대니 로저스 CEO는 CSO온라인(CSOonline)에 과거 자신이 근무했던 작은 회사에서 일어났던 일을 이야기해줬다. 엔지니어링 VP가 회사의 데이터와 파일을 가지고 규모가 더 큰 경쟁사로 직장을 옮긴 사건이다.

이 경쟁사는 이후 입찰에서 탈취한 정보를 이용해 엔지니어링 VP가 근무했던 회사를 이기려 시도했다. 그러나 경찰이 관여를 했고, 정보를 훔친 사람은 기소가 되어 유죄 판결을 받고 감옥에 갔다.


5일 전

음침하지만 흥미진진한 세계··· '산업 스파이' 분야 집중분석

Josh Fruhlinger | CSO

‘스파이’는 국가 차원으로만 활동하지 않는다. 기업들 또한 경쟁 기업을 염탐하고 있다. 일부 활동은 합법적으로 이뤄지지만, 이러한 산업 스파이 활동은 으레 범죄로 이어지기 쉽다.

산업 스파이, 경제 스파이 등으로 불리는 기업 스파이 활동은 상업적, 재정(재무)적 목적에 정탐(스파이, 첩보) 기법을 활용하는 활동이다. 스파이 활동이라는 표현은 특정 국가를 위해 다른 국가에서 정보를 빼내려 시도하는 그런 스파이 및 스파이 활동이 연상된다. 그러나 실제는 기업 스파이에도 동일한 기법이 다수 사용되며, 국가 스파이가 기업 스파이인 경우도 많다.

Image Credit : Getty Images Bank

산업 스파이 활동의 종류
리갈매치(LegalMatch)는 산업 스파이 활동으로 분류할 수 있는 몇몇 기법을 정의해 소개하고 있다.

- 경쟁자 시설이나 부지에 무단 침입하거나, 승인 없이 파일에 접근하는 행위
- 경쟁 기업의 영업 비밀이나 다른 비밀 정보를 입수하기 위해 경쟁 기업의 직원을 가장하는 행위
- 경쟁자에 대한 도청 행위
- 경쟁자의 컴퓨터 해킹
- 맬웨어로 경쟁자의 웹사이트를 공격하는 행위

그러나 이런 영화 같은 기업 스파이 활동만 있는 것이 아니다. 불만을 가진 직원, 경쟁자가 정보를 빼내기 위해 몰래 고용한 직원 등 내부자가 영업 비밀을 빼어내 넘겨주는 단순한 스파이 활동이 아주 많다.

그리고 이른바 CI(경쟁 정보) 활동이 있다. 정보기술 분야에 비유하면 ‘화이트 햇 해킹’에 해당하는 기업 스파이 활동이다. CI 회사들은 CI 활동이 합법적이며 ‘공명정대’한 행보라고 주장한다.

인수 및 합병, 새로운 정부 규제, 블로그 게시물, 소셜 미디어 게시물 등 고객의 활동에 영향을 주는, 크게 봤을 때 공개된 정보를 수집해 분석한다. 경쟁사 임원의 배경적 정보를 조사할 수도 있다. 그러나 지저분한 정보를 찾는 것은 아니다. 동기를 이해하고, 행동을 예측하는 데 목적이 있다. 그러나 원칙적으로 그렇다는 주장이다. CI 사업자와 범죄자를 구분하기 힘든 경우도 있다.

민간기업이나 단체가 다른 민간기업이나 단체를 대상으로 기업 스파이 활동을 하는 것만도 아니다. 정부가 끼어드는 경우도 있다. 특히 국영기업이 많고, 경제 발전을 중요한 국가 목표로 추구하는 국가들이 기업 스파이 활동을 하는 사례가 많다.

그 결과, 상대 국가나 정부도 다양한 정도로 관여를 하게 된다. 예를 들어, 트럼프 미 대통령이 중국과 무역 전쟁을 하게 된 주요 이유 중 하나가 중국이 미국에서 ‘영업 비밀'을 훔치는 것을 막기 위해서다. 이렇게 국가가 관여하는 기업 스파이 활동을 경제 스파이 활동이라고 부른다.

산업 스파이 활동은 범죄일까?
외국 국가를 상대로 한 스파이 활동과 달리, 민간기업을 상대로 한 스파이 활동은 불법이 아닐 것이라고 생각하는 사람들이 많다. 실제로 합법적인 수단과 도구를 이용해 경쟁사에 대한 정보를 획득하는 것은 불법이 아니다. 심지어 비밀리에, 또는 상대방을 속이거나 기만해 정보를 획득하는 것도 합법적인 활동이 될 수 있다. 예를 들어, 경쟁사 매장에 ‘가짜 비밀 쇼핑객’을 보내 영업 방식을 파악하거나, 사설 탐정을 채용해 무역 박람회 등에서 정보를 입수할 수 있다.

그러나 이 정도를 넘어설 경우, 합법성이 유지되기란 아주 어렵다. 일반적으로 소유주의 동의나 승인 없는 영업 비밀(비즈니스에 금전적인 가치가 있는 상업 비밀) 입수는 불법이다.

미국에는 ‘1996년 경제 첩보활동 법(Economic Espionage Act of 1996)’이라는 기업 스파이 활동에 대한 연방 법이 존재한다. 사상 처음으로 (비밀 정보나 국가 방위에 대한 정보가 아닌) 상업 비밀 탈취를 연방 범죄로 규정한 법이다. 이 법은 또 영업 비밀을 상세히 명문화해 정의하고 있다. 기업 스파이 활동에 대한 처벌도 규정하고 있다. 수백, 수천 만 달러의 벌금이나 수년의 징역형이 부과될 수 있다. 이 법은 영업 비밀을 외국 기업이나 정부에 넘긴 사람들을 가장 엄격히 처벌하며, 이를 추구한다. 이 법에 따라 처음 유죄 판결을 받은 범죄자가 중국에 영업 비밀을 판 보잉 엔지니어라는 점이 이를 입증한다.

그러나 모든 기업 스파이 활동이 형사 기소 대상이 되는 것은 아니다. 이와 관련, 미국 법무부는 형사 기소 대상에 대한 가이드라인을 제시하고 있다, 이는 다음 요소로 구성된다.

- 범죄 활동의 범위(외국 정보나 외국인 행위자가 관여했거나, 외국 중개가 있었다는 증거 등).
- 영업 비밀 소유주에 초래되는 경제적 피해의 정도
- 악용된 영업 비밀의 종류
- 가용한 민사적 구제 절차의 효과성
- 기소에 따른 잠정 억지력(가치)

그러나 기소 대상이 아닌 행위라고 해서 합법적인 행위라는 의미는 아니다. 법 위반이 민사 법정의 소송에 대한 근거 및 증거로 쓰일 수 있다. 또 연방 법보다 더 엄격한 주 법을 제정한 주 정부가 많다.

예를 들어 HP의 ‘프리텍스팅(Pretexting)’ 사건의 경우(뒤에 더 자세히 설명), 연방 법 아래 불법이 아니었지만 주 법에서는 불법이었다. 이에 1,400만 달러의 벌금이 부과됐다.

기업 스파이 활동 사례 연구
보안 벤더인 시큐로닉스(Securonix)는 전형적인 기업 스파이 활동과 관련된 좋은 사례 하나를 소개하고 있다.

USC(University of Southern California) 박사 과정 동급생 2명이 몇몇 미국 기술 기업에서 몇 년 간 일하면서 천천히, 그러나 아주 계획적으로 중국의 공모자에게 데이터를 넘겼다. 훔친 지적 재산을 이용해 중국에서 창업을 하려는 계획이었다. 시큐로닉스는 여기에 사용된 기법 및 방법, 공격자들의 합법 행위, 불법 행위에 대해 설명을 하고 있다.

기업 및 산업 스파이 활동 사례
기업 스파이 활동과 관련된 '팩트’ 한 가지는 피해자가 사태를 파악한 경우를 포함, 보고되지 않는 사례가 아주 많다는 것이다. 피해자의 평판이 훼손될 수 있어 이를 알리지 않는다. 보안 실사가 철저하지 않았다는 과실로 인한 평판 하락이 공격자를 대상으로 한 법적 조치에 따른 이점보다 중대하기 때문이다. 그럼에도 불구하고 세상에 알려진 기업 스파이 활동 또한 많다.

- 도망친 VP. 다크 웹 데이터 인텔리전스 신생 창업회사인 테르비움 랩스(Terbium Labs)를 창업한 대니 로저스 CEO는 CSO온라인(CSOonline)에 과거 자신이 근무했던 작은 회사에서 일어났던 일을 이야기해줬다. 엔지니어링 VP가 회사의 데이터와 파일을 가지고 규모가 더 큰 경쟁사로 직장을 옮긴 사건이다.

이 경쟁사는 이후 입찰에서 탈취한 정보를 이용해 엔지니어링 VP가 근무했던 회사를 이기려 시도했다. 그러나 경찰이 관여를 했고, 정보를 훔친 사람은 기소가 되어 유죄 판결을 받고 감옥에 갔다.


X