Day 14: 산업기술보호법
1. 산업기술보호법의 개요
1.1 산업기술보호법이란?
정식 명칭: 산업기술의 유출방지 및 보호에 관한 법률 (약칭: 산업기술보호법)
국가핵심기술 및 산업기술의 부정한 유출을 방지하고 산업기술을 보호·관리함으로써 국가의 안전보장과 국민경제의 발전에 이바지하기 위한 법률
1.2 제정 배경
- 2006년 12월 28일 제정
- 반도체, 디스플레이, 배터리 등 핵심 산업기술의 해외 유출 증가
- 기존 부정경쟁방지법만으로는 산업기술 보호에 한계
- 국가 차원의 산업기술 보호 체계 필요성 증대
1.3 보호 대상
산업기술보호법은 크게 2가지 기술을 보호:
(1) 국가핵심기술
국내외 시장에서 차지하는 기술적·경제적 가치가 높거나 관련 산업의 성장잠재력이 높아 해외로 유출될 경우 국가의 안전보장 및 국민경제의 발전에 중대한 악영향을 줄 우려가 있는 기술
지정 권한: 산업통상자원부 장관 등 관계 부처 장관
현재 지정된 국가핵심기술 (2024년 기준 약 80개)
- 반도체 설계·제조 기술
- 이차전지 핵심소재·제조 기술
- OLED 디스플레이 기술
- 수소연료전지 기술
- 자율주행차 핵심 기술
- 바이오의약품 제조 기술
- 원자력발전 핵심 기술
- 차세대 통신 기술 등
(2) 산업기술
제품 또는 용역의 개발·생산·보급 및 사용에 필요한 제반 방법 내지 기술상의 정보
범위: 국가핵심기술을 제외한 모든 산업기술
1.4 적용 범위
적용 대상
- 산업기술을 보유한 기업
- 국가핵심기술을 보유한 기업 (특히 엄격한 규제)
- 대상기술 보유 기업의 임직원
2. 산업기술보호법의 주요 내용
2.1 법의 구조
산업기술보호법은 크게 6개 장으로 구성:
2.2 보안 컨설팅 관점에서 중요한 조항
| 조항 | 내용 | 중요도 |
|---|---|---|
| 제9조~제11조 | 국가핵심기술의 수출 등 | ★★★ |
| 제14조 | 보호조치 | ★★★ |
| 제14조의2 | 보안심사 | ★★★ |
| 제14조의3 | 보안서약 | ★★ |
| 제36조~제38조 | 벌칙 | ★★★ |
3. 국가핵심기술의 보호 (법 제9조~제13조)
3.1 국가핵심기술의 지정
지정 주체
산업통상자원부 장관 등 관계 부처 장관
지정 절차
지정 기준 (법 제9조 제1항)
- 국내외 시장에서 차지하는 기술적·경제적 가치가 높을 것
- 관련 산업의 성장잠재력이 높을 것
- 해외로 유출될 경우 국가 안전보장 및 국민경제에 중대한 악영향을 줄 우려가 있을 것
3.2 국가핵심기술 보유 기업의 의무
국가핵심기술을 보유한 기업은 다음 사항을 준수해야 함:
(1) 국가정보원장에게 신고 (법 제11조의2)
국가핵심기술을 보유하게 된 날로부터 30일 이내 신고
신고 내용:
- 국가핵심기술의 명칭 및 내용
- 보유 시기
- 보호 조치 현황
(2) 수출 등 사전 승인 (법 제9조)
국가핵심기술을 수출·이전·제공하려는 경우 산업통상자원부 장관의 승인 필요
승인 대상 행위:
- 해외 수출: 국가핵심기술을 해외로 수출
- 외국인에게 제공: 국내에서 외국인에게 제공
- 해외 기술 이전: 기술이전, 합작투자, 라이선스 등
승인 절차:
승인 기준:
- 국가 안전보장에 미치는 영향
- 국민경제에 미치는 영향
- 기술 이전의 필요성
- 기술 보호 대책의 적정성
(3) 외국인 M&A 시 신고 (법 제11조)
외국인 또는 외국 기업이 국가핵심기술 보유 기업을 인수·합병하려는 경우 산업통상자원부 장관에게 신고
신고 대상:
- 주식 또는 지분의 50% 이상 취득
- 경영권 취득
심사:
- 국가 안전보장에 미치는 영향 검토
- 금지·조건부 허용·허용 결정
3.3 국가핵심기술 유출 시 처벌
형사처벌 (법 제36조)
15년 이하 징역 또는 15억원 이하 벌금
대상 행위:
- 국가핵심기술을 해외로 유출
- 외국 정부 등을 위해 국가핵심기술 취득·사용
- 영리 목적으로 국가핵심기술 유출
특징:
- 개인정보보호법(5년), 영업비밀(10년)보다 훨씬 무거운 처벌
- 국가 차원의 핵심 기술 보호
양벌규정 (법 제39조)
법인의 대표자나 종업원이 위반 행위를 한 경우:
- 행위자 처벌
- 법인도 처벌 (벌금형)
4. 대상기술의 보호조치 (법 제14조)
4.1 보호조치 의무
대상기술 보유 기업은 산업기술의 유출 및 침해를 방지하기 위하여 다음의 보호조치를 해야 함:
(1) 대상기술의 지정 및 관리
- 보호가 필요한 산업기술을 선정하여 지정
- 대상기술 목록 작성 및 관리
(2) 인력 관리
- 보안 서약서 징구 (법 제14조의3)
- 퇴직자 관리
(3) 시설 및 정보 보안
- 접근 통제: 대상기술 보관 장소 출입 통제
- 정보보호: 대상기술이 저장된 정보시스템 보안
- 암호화: 대상기술 정보 암호화
(4) 문서 관리
- 대상기술 문서에 비밀 표시
- 외부 반출 통제
(5) 교육
- 임직원 대상 보안 교육 실시
4.2 보호지침 수립·시행 (법 제14조 제1항)
대상기술 보유 기업은 보호지침을 수립·시행해야 함
보호지침 포함 사항:
- 대상기술의 지정 및 관리에 관한 사항
- 대상기술 취급자의 교육에 관한 사항
- 대상기술의 보안 등급 분류 및 관리에 관한 사항
- 대상기술에 대한 접근 통제에 관한 사항
- 대상기술의 보관·보존에 관한 사항
- 보안 사고 대응에 관한 사항
4.3 보안심사 (법 제14조의2)
보안심사 대상
- 국가핵심기술 보유 기업
- 연구개발 과제를 수행하는 중소·중견기업 (정부 지원)
보안심사 주기
- 2년마다 실시
보안심사 기관
- 한국산업기술보호협회 (KAITS)
- 기타 지정된 전문기관
보안심사 항목
- 보호지침 수립 및 시행
- 보안 조직 및 인력
- 접근 통제
- 정보보호
- 교육 및 훈련
- 사고 대응 체계
4.4 보안서약 (법 제14조의3)
보안서약 의무
대상기술 보유 기업은 대상기술 취급자로부터 보안서약서를 징구해야 함
보안서약 대상자:
- 임직원
- 연구원
- 협력업체 직원 등 대상기술에 접근하는 모든 자
보안서약 내용:
- 대상기술을 외부에 유출하지 않을 것
- 대상기술을 목적 외 용도로 사용하지 않을 것
- 퇴직 후에도 비밀 유지 의무를 준수할 것
- 위반 시 법적 책임을 질 것
5. 산업기술 유출 방지 (법 제14조의4~제14조의7)
5.1 해외 유출 금지
금지 행위 (법 제14조의4)
다음 행위는 금지:
- 절취·기망·협박 등 부정한 방법으로 대상기술 취득
- 부정 취득한 대상기술 사용·공개
- 계약 위반·부정한 이익 등을 위해 대상기술 유출
처벌 (법 제36조)
- 국가핵심기술: 15년 이하 징역 또는 15억원 이하 벌금
- 일반 산업기술: 10년 이하 징역 또는 10억원 이하 벌금
5.2 퇴직자 관리
경업 제한 (선택 사항)
- 기업은 퇴직자와 경업금지 약정 체결 가능
- 다만, 합리적인 범위 내에서만 유효
퇴직 시 조치
- 대상기술 관련 자료 반납
- 접근 권한 회수
- 보안 서약 재확인
5.3 협력업체 관리
기술 제공 시 보호 의무
대상기술을 협력업체에 제공하는 경우:
- 비밀유지계약(NDA) 체결
- 협력업체의 보안 수준 확인
- 제공 범위 최소화
6. 보안 컨설팅 관점의 시사점
6.1 국가핵심기술 보유 기업 컨설팅
사전 확인 사항
- 보유 기술이 국가핵심기술에 해당하는지 확인
- 국가정보원에 신고 여부 확인
- 보안심사 대응 준비 여부 확인
컨설팅 중점 사항
- 보호지침 수립 지원
- 보안 조직 구성 자문
- 기술 분류 및 등급화
- 접근 통제 시스템 구축
- 보안심사 대응 지원
- 임직원 교육 프로그램 설계
6.2 산업기술 보호 체계 구축
Phase 1: 진단
- 보호 대상 기술 식별
- 현재 보안 수준 평가
- 법적 요구사항 갭 분석
Phase 2: 설계
- 보호지침 수립
- 보안 조직 설계
- 기술적·물리적 보호대책 설계
Phase 3: 구현
- 접근 통제 시스템 구축
- DLP(Data Loss Prevention) 도입
- 문서 보안 시스템 구축
- 물리적 보안 강화
Phase 4: 운영
- 정기 교육 실시
- 보안 점검 수행
- 사고 대응 훈련
6.3 기술 유출 사고 대응
사전 준비
- 기술 유출 대응 절차 수립
- 포렌식 도구 및 역량 확보
- 법무팀과 협력 체계 구축
사고 발생 시
- 유출 범위 파악
- 증거 확보 (디지털 포렌식)
- 관계 기관 신고 (필요 시)
- 법적 조치 (형사 고소, 민사 소송)
- 재발 방지 대책 수립
7. 실무 사례
사례 1: 반도체 기업의 국가핵심기술 관리
상황: 반도체 미세공정 기술을 보유한 A사
보유 기술:
- 5nm 공정 기술 (국가핵심기술 지정)
보호 조치:
- 국가정보원에 신고
- 보호지침 수립
- 기술 등급 분류: 1급(극비), 2급(대외비), 3급(일반)
- 1급 기술은 특정 연구소에만 보관
- 물리적 보안
- 연구소 출입: 생체인증 + 보안카드
- CCTV 24시간 감시
- 정보보안
- 1급 기술 문서: 암호화 + 망분리
- DLP 시스템으로 외부 유출 차단
- 인력 관리
- 전 직원 보안서약
- 퇴직자 경업금지 약정 (2년)
- 정기 보안심사 (2년마다)
사례 2: 이차전지 기업의 기술 유출 사고
상황: B사 연구원이 전고체 배터리 기술을 중국 기업에 유출
사고 경위:
- 연구원이 USB로 기술 자료 복사
- 중국 기업과 접촉하여 기술 판매
- 내부 모니터링으로 이상 징후 탐지
- 조사 후 유출 사실 확인
대응:
- 즉시 연구원 업무 배제
- 디지털 포렌식으로 증거 확보
- 검찰에 형사 고소
- 중국 기업에 기술 사용 중단 요구
결과:
- 연구원: 징역 5년 선고
- B사: 보안 체계 전면 강화
- USB 사용 금지
- DLP 강화
- 내부자 위협 탐지 시스템 도입
사례 3: 스타트업의 보안심사 대응
상황: 정부 R&D 과제를 수행하는 C 스타트업
보안심사 의무:
- 정부 과제 수행 중소기업 → 보안심사 대상
컨설팅 지원:
- 보호지침 수립
- 보안 조직 구성 (CTO가 보안책임자 겸임)
- 접근 통제: 출입카드 시스템
- 정보보호: 백신, 방화벽, VPN
- 보안교육: 연 2회 실시
- 보안심사 대응 자료 준비
결과:
- 보안심사 통과
- 정부 R&D 과제 성공적 수행
8. 타 법률과의 비교
8.1 산업기술보호법 vs 부정경쟁방지법
| 구분 | 산업기술보호법 | 부정경쟁방지법 |
|---|---|---|
| 보호 대상 | 국가핵심기술, 산업기술 | 영업비밀 |
| 주요 목적 | 국가 안보, 국민경제 | 공정한 경쟁 질서 |
| 형사처벌 | 최대 15년 | 최대 10년 |
| 수출 규제 | 국가핵심기술은 사전 승인 | 없음 |
| M&A 규제 | 국가핵심기술 보유 기업 M&A 시 신고 | 없음 |
8.2 산업기술보호법 vs 개인정보보호법
| 구분 | 산업기술보호법 | 개인정보보호법 |
|---|---|---|
| 보호 대상 | 산업기술 | 개인정보 |
| 보호 법익 | 국가 안보, 산업 경쟁력 | 개인의 사생활 |
| 암호화 | 대상기술 정보 | 개인정보 |
| 접근 통제 | 대상기술 시스템 | 개인정보 시스템 |
공통점:
- 둘 다 정보 보호가 목적
- 암호화, 접근 통제 등 유사한 보안 조치
- 보안 컨설팅 시 통합 접근 가능
9. 체크리스트
- 우리 회사가 보유한 기술이 국가핵심기술에 해당하는가?
- 국가핵심기술 보유 시 국가정보원에 신고했는가?
- 국가핵심기술을 해외로 수출·이전 시 승인을 받는가?
- 외국인 투자·M&A 시 신고 절차를 준수하는가?
- 보호 대상 기술을 지정·관리하고 있는가?
- 보호지침을 수립했는가?
- 대상기술 취급자로부터 보안서약을 받았는가?
- 대상기술에 대한 접근 통제를 하고 있는가?
- 대상기술 정보를 암호화하고 있는가?
- 정기적인 보안 교육을 실시하는가?
- 보안심사 대상인 경우 2년마다 심사를 받는가?
- 퇴직자로부터 기술 자료를 회수하는가?
- 협력업체와 NDA를 체결하는가?
학습 정리
오늘 학습한 핵심 내용:
- 산업기술보호법은 국가핵심기술과 산업기술을 보호하는 법률
- 국가핵심기술은 약 80개 지정, 반도체·배터리·디스플레이 등
- 국가핵심기술 수출·이전 시 산업통상자원부 장관 승인 필요
- 외국인 M&A 시 신고 의무
- 대상기술 보유 기업은 보호지침 수립·보안서약 징구 의무
- 2년마다 보안심사 (국가핵심기술 보유 기업, 정부 R&D 수행 기업)
- 국가핵심기술 유출 시 최대 15년 징역 (매우 무거운 처벌)
- 보안 컨설팅 시 개인정보보호와 함께 산업기술 보호도 고려 필요
다음 학습 주제
Day 15: 부정경쟁방지 및 영업비밀보호에 관한 법률