음침하지만 흥미진진한 세계··· ‘산업 스파이’ 분야 집중분석

산업 스파이, 경제 스파이 등으로 불리는 기업 스파이 활동은 상업적, 재정(재무)적 목적에 정탐(스파이, 첩보) 기법을 활용하는 활동이다. 스파이 활동이라는 표현은 특정 국가를 위해 다른 국가에서 정보를 빼내려 시도하는 그런 스파이 및 스파이 활동이 연상된다. 그러나 실제는 기업 스파이에도 동일한 기법이 다수 사용되며, 국가 스파이가 기업 스파이인 경우도 많다.

산업 스파이 활동의 종류
리갈매치(LegalMatch)는 산업 스파이 활동으로 분류할 수 있는 몇몇 기법을 정의해 소개하고 있다.

– 경쟁자 시설이나 부지에 무단 침입하거나, 승인 없이 파일에 접근하는 행위
– 경쟁 기업의 영업 비밀이나 다른 비밀 정보를 입수하기 위해 경쟁 기업의 직원을 가장하는 행위
– 경쟁자에 대한 도청 행위
– 경쟁자의 컴퓨터 해킹
– 맬웨어로 경쟁자의 웹사이트를 공격하는 행위

그러나 이런 영화 같은 기업 스파이 활동만 있는 것이 아니다. 불만을 가진 직원, 경쟁자가 정보를 빼내기 위해 몰래 고용한 직원 등 내부자가 영업 비밀을 빼어내 넘겨주는 단순한 스파이 활동이 아주 많다.

그리고 이른바 CI(경쟁 정보) 활동이 있다. 정보기술 분야에 비유하면 ‘화이트 햇 해킹’에 해당하는 기업 스파이 활동이다. CI 회사들은 CI 활동이 합법적이며 ‘공명정대’한 행보라고 주장한다.

인수 및 합병, 새로운 정부 규제, 블로그 게시물, 소셜 미디어 게시물 등 고객의 활동에 영향을 주는, 크게 봤을 때 공개된 정보를 수집해 분석한다. 경쟁사 임원의 배경적 정보를 조사할 수도 있다. 그러나 지저분한 정보를 찾는 것은 아니다. 동기를 이해하고, 행동을 예측하는 데 목적이 있다. 그러나 원칙적으로 그렇다는 주장이다. CI 사업자와 범죄자를 구분하기 힘든 경우도 있다.

민간기업이나 단체가 다른 민간기업이나 단체를 대상으로 기업 스파이 활동을 하는 것만도 아니다. 정부가 끼어드는 경우도 있다. 특히 국영기업이 많고, 경제 발전을 중요한 국가 목표로 추구하는 국가들이 기업 스파이 활동을 하는 사례가 많다.

그 결과, 상대 국가나 정부도 다양한 정도로 관여를 하게 된다. 예를 들어, 트럼프 미 대통령이 중국과 무역 전쟁을 하게 된 주요 이유 중 하나가 중국이 미국에서 ‘영업 비밀’을 훔치는 것을 막기 위해서다. 이렇게 국가가 관여하는 기업 스파이 활동을 경제 스파이 활동이라고 부른다.

산업 스파이 활동은 범죄일까?
외국 국가를 상대로 한 스파이 활동과 달리, 민간기업을 상대로 한 스파이 활동은 불법이 아닐 것이라고 생각하는 사람들이 많다. 실제로 합법적인 수단과 도구를 이용해 경쟁사에 대한 정보를 획득하는 것은 불법이 아니다. 심지어 비밀리에, 또는 상대방을 속이거나 기만해 정보를 획득하는 것도 합법적인 활동이 될 수 있다. 예를 들어, 경쟁사 매장에 ‘가짜 비밀 쇼핑객’을 보내 영업 방식을 파악하거나, 사설 탐정을 채용해 무역 박람회 등에서 정보를 입수할 수 있다.

그러나 이 정도를 넘어설 경우, 합법성이 유지되기란 아주 어렵다. 일반적으로 소유주의 동의나 승인 없는 영업 비밀(비즈니스에 금전적인 가치가 있는 상업 비밀) 입수는 불법이다.

미국에는 ‘1996년 경제 첩보활동 법(Economic Espionage Act of 1996)’이라는 기업 스파이 활동에 대한 연방 법이 존재한다. 사상 처음으로 (비밀 정보나 국가 방위에 대한 정보가 아닌) 상업 비밀 탈취를 연방 범죄로 규정한 법이다. 이 법은 또 영업 비밀을 상세히 명문화해 정의하고 있다. 기업 스파이 활동에 대한 처벌도 규정하고 있다. 수백, 수천 만 달러의 벌금이나 수년의 징역형이 부과될 수 있다. 이 법은 영업 비밀을 외국 기업이나 정부에 넘긴 사람들을 가장 엄격히 처벌하며, 이를 추구한다. 이 법에 따라 처음 유죄 판결을 받은 범죄자가 중국에 영업 비밀을 판 보잉 엔지니어라는 점이 이를 입증한다.

그러나 모든 기업 스파이 활동이 형사 기소 대상이 되는 것은 아니다. 이와 관련, 미국 법무부는 형사 기소 대상에 대한 가이드라인을 제시하고 있다, 이는 다음 요소로 구성된다.

– 범죄 활동의 범위(외국 정보나 외국인 행위자가 관여했거나, 외국 중개가 있었다는 증거 등).
– 영업 비밀 소유주에 초래되는 경제적 피해의 정도
– 악용된 영업 비밀의 종류
– 가용한 민사적 구제 절차의 효과성
– 기소에 따른 잠정 억지력(가치)

그러나 기소 대상이 아닌 행위라고 해서 합법적인 행위라는 의미는 아니다. 법 위반이 민사 법정의 소송에 대한 근거 및 증거로 쓰일 수 있다. 또 연방 법보다 더 엄격한 주 법을 제정한 주 정부가 많다.

예를 들어 HP의 ‘프리텍스팅(Pretexting)’ 사건의 경우(뒤에 더 자세히 설명), 연방 법 아래 불법이 아니었지만 주 법에서는 불법이었다. 이에 1,400만 달러의 벌금이 부과됐다.

기업 스파이 활동 사례 연구
보안 벤더인 시큐로닉스(Securonix)는 전형적인 기업 스파이 활동과 관련된 좋은 사례 하나를 소개하고 있다.

USC(University of Southern California) 박사 과정 동급생 2명이 몇몇 미국 기술 기업에서 몇 년 간 일하면서 천천히, 그러나 아주 계획적으로 중국의 공모자에게 데이터를 넘겼다. 훔친 지적 재산을 이용해 중국에서 창업을 하려는 계획이었다. 시큐로닉스는 여기에 사용된 기법 및 방법, 공격자들의 합법 행위, 불법 행위에 대해 설명을 하고 있다.

기업 및 산업 스파이 활동 사례
기업 스파이 활동과 관련된 ‘팩트’ 한 가지는 피해자가 사태를 파악한 경우를 포함, 보고되지 않는 사례가 아주 많다는 것이다. 피해자의 평판이 훼손될 수 있어 이를 알리지 않는다. 보안 실사가 철저하지 않았다는 과실로 인한 평판 하락이 공격자를 대상으로 한 법적 조치에 따른 이점보다 중대하기 때문이다. 그럼에도 불구하고 세상에 알려진 기업 스파이 활동 또한 많다.

– 도망친 VP. 다크 웹 데이터 인텔리전스 신생 창업회사인 테르비움 랩스(Terbium Labs)를 창업한 대니 로저스 CEO는 CSO온라인(CSOonline)에 과거 자신이 근무했던 작은 회사에서 일어났던 일을 이야기해줬다. 엔지니어링 VP가 회사의 데이터와 파일을 가지고 규모가 더 큰 경쟁사로 직장을 옮긴 사건이다.

이 경쟁사는 이후 입찰에서 탈취한 정보를 이용해 엔지니어링 VP가 근무했던 회사를 이기려 시도했다. 그러나 경찰이 관여를 했고, 정보를 훔친 사람은 기소가 되어 유죄 판결을 받고 감옥에 갔다.

– HP의 ‘내전’. 2000년대 세상을 가장 떠들썩하게 만들었던 산업 스파이 사건은 HP의 ‘내부 스파이’ 사건이었다. HP는 기업에 피해를 주는 내부 정보를 언론에 유출하는 직원을 찾아내기 위해, 여러 PI(사설 탐정) 회사를 고용해 HP 이사들을 염탐했다. 이 과정에 ‘프리텍스팅(pretexting, 위장을 해서 정보를 빼내는 행위)’ 기법을 이용해 통화 기록을 입수했다. 전화 회사에 전화를 걸어, 전화 소유주로 가장해 정보를 입수한 것이다. 참고로 이런 행위는 캘리포니아에서는 범죄 행위이다. 결국 몇몇 HP 임원들의 커리어가 끝났다.

– ‘면도날’ 전쟁. 1997년 일어난 일이다. 질레트(Gillette)의 하도급업체인 라이트 인더스트리스(Wright Industries Inc.)의 프로세스 컨트롤 엔지니어였던 스티븐 L 데이비스가 ‘마치 3(March 3)’라는 프로젝트에서 강등됐다. 그는 자신의 커리어에 오점이 생긴 것에 화가 났고, ‘마치 3’ 프로젝트와 관련된 영업 비밀을 질레트의 여러 경쟁사에 넘기기로 결정했다. 누구도 이런 정보를 요구하지 않았으며, 데이비스 또한 대가를 요구하지 않았다. 다행히 경쟁사였던 쉬크(Schick)가 그 즉시 질레트에 이런 사실을 알려줬다. FBI가 수사를 시작했고, 데이비스는 2년이 넘는 징역형을 선고 받았다.

– ‘쓰레기’ 염탐. 2000년, 마이크로소프트는 미국 연방 정부의 반독점 소송에 맞서 싸우고 있었다. 그런데 오라클(Oracle)의 래리 엘리슨 CEO는 두 독립 연구기관인 인디펜던트 인스터튜트(Independent Institute)와 내셔널 텍스페이어 유니온(National Taxpayers Union)이 마이크로소프트로부터 은밀히 대가를 지불 받고 마이크로소프트에 도움이 되는 보고서를 발표했다고 의심했다.

이에 그는 사설 탐정을 고용해 연구 기관의 쓰레기를 뒤졌다가 발각됐다. 엘리슨은 오라클이 정부를 돕기 위해 ‘시민으로서의 의무’를 수행했을 뿐이라고 주장하며, 투명성 차원에서 오라클의 쓰레기 또한 마이크로소프트 본사에 보내겠다고 제안했다.

– 두 호텔 체인의 싸움. 2010년, 양대 호텔 체인인 힐튼 월드와이드(Hilton Worldwide)와 스타우드 리조트 앤 호텔스(Starwood Resort & Hotels)는 산업 스파이 활동과 관련된 법정 소송에서 서로 합의했다. 형사 기소가 되지 않더라도 처벌이 얼마나 가혹할 수 있는지 알려주는 사례였다.

힐튼이 스타우드의 ‘라이프스타일 호텔’ 브랜드인 W 브랜드의 성공 사례를 베끼려 시도한 것이 사건의 발단이었다. 힐튼은 2명의 스타우드 임원을 스카우트했고, 이 2명은 스타우드에서 회사 영업 비밀을 빼냈다.

분쟁이 발생하자 힐튼은 스타우드에 현금으로 7,500만 달러를 지불하고, 7,500만 달러에 달하는 호텔 관리 대행 계약을 체결하기로 합의했다. 또 2년 간 라이프스타일 호텔 브랜드를 런칭하지 않고, 법원이 지정한 감독관으로부터 합의 사항 준수 여부를 감시 받기로 약속한 후에야 소송을 끝낼 수 있었다.

CSO온라인의 관련 리스트에서 더 흥미로운 사례들을 찾을 수 있다.

기업 스파이 활동 관련 일자리
‘기업 스파이’가 흥미롭게 들린다면, CI 분야 종사자들을 위한 단체인 SCIP를 살펴보기 바란다. 다양한 리소스와 정보를 입수할 수 있는 장소다.

실제 기업 스파이가 되려면 어떻게 해야 할까? 한 가지 경로가 있는 것은 아니다. 사실 기업 스파이 활동 분야에서 일하고 있는 사람들 중에는 정부의 첩보 분야에서 일했던 경력이 있는 사람들이 많다. 많은 사람들이 전직 CIA나 FBI 요원들이다. 정부 기관에서 획득한 스킬을 민간 기업 보호 및 이익에 사용하고 있는 것이다. 이에 납세자가 기업의 ‘마수’에 도움을 주고 있는 것은 아닌지 의문을 제기하는 사람들도 있다.

기업 스파이 활동 관련 회사
대기업은 내부에 CI 부서를 조직해 운영하는 경우가 많다. 내부의 분석가가 정보를 입수 및 분석한다. 특히 제약회사들이 CI 활동에 많은 돈을 투자한다. 1/4이 넘는 제약회사들이 CI에 연간 200만 달러 이상을 지출한다.

그러나 한편으로는 많은 대기업들이 대적 첩보 활동 (카운터인텔리전스)에 투자를 하고 있다. 2018년, 나심 나자피 아그담(Nasim Najafi Aghdam)이 유튜브 본사에서 총기 난동을 벌인 사건이 있었다. 구글의 한 임원은 이후 베니티페어(Vanity Fair)와 가진 인터뷰에서 건물에 무단 침입하는 것을 방지하고, 데이터를 보호하는 보안 대책을 도입해 이행하고 있다고 강조했다.

기업 및 산업 스파이 활동에 특화된 회사와 컨설턴트들도 있다. 단 이들은 아주 오싹한 일, 악명 높은 일을 한 경우에만 언론 뉴스에 등장하는 경향이 있다. 독재자들이 숨겨 놓은 돈을 찾는데 도움을 주고, 한편으로는 월스트리트 금융 기관들의 돈에 대해서는 비밀을 지켜주고 있는 크롤(Kroll, Inc). 액티비스트 그룹에 침투해 활동을 노출시키고, 구성원이 반복하도록 만드는 C2i 인터내셔널(C2i International), 하비 와인스타인(Harvey Weinstein)을 고발한 사람들의 주장과 평판을 훼손하는 일을 한 모사드 요원 출신이 창업한 회사인 블랙 큐브(Black Cube)를 예로 들 수 있다.

기업 스파이 활동 관련 영화
산업 스파이에 대한 영화도 있다. 최근 가장 크게 ‘히트’한 영화로는 인셉션(Inception)이 산업 스파이 영화이다. 컨설턴트가 기업 비밀 정보를 탈취하는 스토리이다. 물론 사용되는 기법이 ‘영화’다. 꿈에 침입을 한다. 현실적인 영화는 아니다.

조금 더 현실적인 영화를 원한다면 2009년 개봉된 더블스파이(Duplicity)라는 영화가 있다. 케이프 플름 장르이며, 줄리아 로버츠와 클리브 오웬이 주연이다. 공상과학 영화는 아니다. CIA와 MI-6 스파이 출신들이 CI 분야에서 활동하는 스토리다. dl-ciokorea@foundryco.com