코그니전트가 인포시스(Infosys)를 상대로 제기한 소송은 경쟁사와 민감한 정보를 공유할 때의 위험성을 보여준다. 인포시스는 경쟁 제품을 만들기 위해 보호 대상 정보를 사용한 혐의를 받고 있다.
최근 텍사스 연방법원에 제기된 소송은 경쟁사 또는 잠재적 경쟁사가 표면상 상호 고객을 돕기 위해 기밀 유지 및 접근 계약(NDA/NDAA)을 맺고 민감한 정보를 공유할 때 일어날 수 있는 문제를 보여준다.
이번 소송에는 코그니전트의 자회사이자 의료 청구 처리를 지원하는 소프트웨어 제공 업체 트리제토(TriZetto)와 인도의 IT 기업 인포시스가 연루됐다. 코그니전트는 인포시스가 트리제토의 민감한 기술 세부 정보를 받은 뒤 해당 정보를 사용해 경쟁 제품을 만들었다며 소송을 제기했다.
소송문은 “인포시스는 특정 고객용 작업을 완료한다는 목적으로 트리제토와 체결한 NDAA를 빙자해 엄격하게 보호돼야 할 독점 소프트웨어 제품 및 관련 기술 문서에 접근했다. NDAA는 트리제토의 독점 정보 및 영업 비밀에 대한 인포시스의 접근 범위를 매우 좁고 엄격하게 정의해 제한된 직원에게만 접근 권한을 부여한다. 그러나 인포시스는 계약을 위반했으며 경쟁 소프트웨어 및 서비스 제품을 개발 및 개선하기 위해 트리제토의 영업 비밀을 남용하고 기밀 정보를 훔쳤다”라고 밝혔다.
코그니전트가 제출한 서류에는 인포시스와 공유한 일부 영업 비밀 정보가 나열됐다. 이는 “독점 소프트웨어로 구현한 워크플로우 및 기능, 소스코드, 기술 문서, 제품 릴리스 노트, 링크 라이브러리 및 개발 툴킷을 포함한 독점 소프트웨어 관련 소스 자료, 독점 소프트웨어 테스트를 위한 테스트 케이스, 독점 소프트웨어의 인터페이스, 커넥터 및 어댑터와 그 인터페이스, 커넥터 및 어댑터를 만들기 위한 도구, 데이터베이스, 데이터베이스 스키마, 파일 구조, 데이터 사전 및 독점 소프트웨어의 데이터 저장과 관련된 기타 정보” 등이다.
이 사건을 통해 IT 리더가 제기할 수 있는 의문점은 데이터가 잠재적인 경쟁자와 공유될 때 NDA와 NDAA가 전부인 계약으로 회사를 어디까지 보호할 수 있는지다. 흥미롭게도 이번 사건에서 전형적인 NDA 위반 사례로 꼽히는 ‘회사 외부로의 데이터 공유’는 문제가 되지 않았다. 인포시스 관계자가 민감한 데이터를 회사 밖의 누군가와 공유했다는 혐의는 없었기 때문이다. 고소장은 이들이 정보를 ‘오용’했다고 주장했다.
변호사들은 정보의 부적절한 공유나 사용 외에도 CIO가 관리해야 할 핵심 문제를 일반적으로 법조계에서 ‘독수독과 이론(fruit of the poisonous tree)’이라고 부른다고 언급했다.
법 집행 사례에서 독수독과 이론이란 위법하게 수집된 증거와 그로 인해 발견된 2차 증거의 증거 능력을 인정하지 않는다는 것이다. 예를 들어 불법적으로 획득한 데이터로 인해 법 집행 기관이 다른 방법으로는 하지 않았을 질문을 하거나 다른 방법으로는 가지 않았을 주소로 찾아가는 경우, 그 결과물인 데이터도 인정하지 않는다.
언스트앤영(EY) 변호사 겸 상무이사인 브라이언 레빈은 코그니전트 소송을 검토하지 않았기 때문에 직접적으로 언급할 수 없다고 말했지만, NDA/NDAA 문제로 어려움을 겪는 기업 CIO를 많이 본다고 말했다.
그는 “법이나 계약서에 규정된 내용도 있지만, 그 계약에 내포된 목적과 정신도 있다”라고 말하며 CIO가 이런 계약을 현실적인 관점에서 고려해야 한다고 덧붙였다. 그는 “그렇지 않으면 상대방에게 아이디어를 제공하게 될 것”이라고 지적했다.
레빈은 “기업이 NDA/NDAA를 체결한다고 해서 이를 준수할 것이라고 가정해서는 안 된다. ‘이 비즈니스 과정을 진행하는 것이 합당한가’라는 질문을 스스로에게 던져야 한다. 상대방에게 높은 수준의 신뢰를 갖고 있는가? 많은 경우 NDA는 일종의 즉흥적 대응에 불과하며, 충분한 검토가 이뤄지지 않는다”라고 분석했다.
CIO가 이런 종류의 민감한 정보 교환에 대처하는 방법으로 레빈은 “공유되는 정보의 범위를 좁혀 잠재적 피해를 줄이는 것”을 꼽았다.
한편 클리블랜드의 로펌 코르먼 잭슨 크란츠(Kohrman Jackson Krantz)의 변호사인 마크 라쉬는 CIO가 계약서에 규정된 내용뿐만 아니라 규정되지 않은 내용에도 초점을 맞춰야 한다고 말했다. 그는 “기업들이 종종 비밀 유지 계약서에 비경쟁과 관련한 조항을 몰래 넣으려는 경우가 있다. 또한 파트너의 정보를 접할 때마다 그 정보가 원래 자신이 알고 있는 것인지, 배운 것인지 구분할 수 없다는 점도 문제다”라고 지적했다.
라쉬는 기업에게 이 문제를 논의하고 시작 단계에서 협상할 것을 조언하지만, “사람들이 예상하지 못하기 때문에” 실제로 그런 경우가 거의 없다고 말했다. 그는 잠재적 경쟁사로부터 비밀 정보를 받는 기업의 CIO에게 극도의 분리 노력을 기울일 것을 권장하면서 “제한된 정보를 얻으려면 해당 소프트웨어와는 전혀 관련이 없는 새로운 팀을 지정해 한 프로젝트와 다른 프로젝트를 ‘차단’해야 한다”라고 조언했다. dl-ciokorea@foundryco.com
