퇴사한 직원이 영업비밀을 USB에 담아 경쟁사로 가져갔다는 의심이 들더라도, 이를 법적으로 입증하기 위한 디지털 증거 확보는 결코 쉬운 일이 아닙니다. 특히 해당 직원이 사용하던 PC를 후임자가 오랫동안 사용한 뒤라면, 핵심 기록이 상당 부분 소실되어 있을 가능성이 높습니다.
이 사건에서는 PC 분석을 통해 USB를 이용한 대규모 자료 반출 정황을 확인한 뒤, 당사자가 자진 반납한 USB에 대한 정밀 포렌식을 실시하여 삭제 파일 복구, MAC Time 타임스탬프 분석, 오피스 임시파일 추적이라는 세 가지 기법을 통해 영업비밀 유출의 결정적 증거를 확보한 과정을 소개합니다.
1. 사건의 시작 — 퇴사 직원의 USB 반출 의심
회사의 영업비밀을 외부로 유출하는 경우, 그 흔적은 대부분 유출 자료가 원래 보관되어 있던 PC에 남게 됩니다. USB나 인터넷 등을 통해 파일을 외부로 반출하는 과정에서 운영체제(OS)에 다양한 기록이 생성되기 때문입니다. 의뢰인은 법무법인 더프라임의 조력을 받아 영업비밀을 유출한 것으로 의심되는 퇴사 직원이 사용하던 PC를 분석한 결과, USB를 통한 다수의 파일 반출 정황을 확인할 수 있었습니다.
다만 문제는, 해당 PC를 이미 후임자가 상당 기간 사용하고 있었다는 점이었습니다. 후임자의 업무 과정에서 기존 기록이 상당 부분 덮어쓰여져 소실된 상태였기 때문에, 정확히 어떤 영업비밀이 반출되었는지는 PC 분석만으로는 특정할 수 없는 상황이었습니다.
이에 의뢰인은 해당 직원을 직접 만나 해명을 요청하였습니다. 직원은 “USB를 접속시킨 것은 맞으나, 퇴사에 임박하여 자료를 반출한 적은 없고, USB에 담겨 있는 자료는 과거부터 업무상 보관하고 있던 것이 대부분이다”라고 해명하며 해당 USB를 자진 반납하였습니다. 의뢰인은 이 USB에 대한 정밀 포렌식 분석을 통해 실제 영업비밀 유출 흔적이 존재하는지 확인해 달라고 법무법인 더프라임에 의뢰하였습니다.
2. 분석 1단계 — X-Ways를 활용한 삭제 파일 전수 복구
USB 포렌식의 첫 단계는 삭제된 파일의 전수 복구입니다. 반출자가 USB에서 증거를 인멸하기 위해 파일을 삭제했을 가능성이 높기 때문에, 다양한 분석 기법을 적용하기에 앞서 삭제 파일 복구가 필수적으로 선행되어야 합니다.
법무법인 더프라임에서는 디지털 포렌식 전문 도구인 X-Ways Forensics를 활용하여 USB 내 삭제 파일에 대한 전수 복구를 실시하였습니다. X-Ways는 파일 시스템의 빈 영역(unallocated space)과 슬랙 영역(slack space)까지 정밀하게 스캔하여, 일반적인 복구 프로그램으로는 탐지하지 못하는 삭제 파일까지 복원할 수 있는 전문 도구입니다. 분석 결과, 최근에 삭제된 수십 개의 파일을 성공적으로 복구할 수 있었습니다.
3. 분석 2단계 — MAC Time 분석으로 유출 시점 특정
USB 자체에는 파일의 수정이나 변경 이력을 기록하는 별도의 로그(log)나 저널(journal)이 존재하지 않습니다. 따라서 USB만으로는 언제, 어떤 파일이 복사되었는지를 직접적으로 확인하기 어렵습니다. 이런 경우 활용할 수 있는 대표적인 포렌식 기법이 바로 MAC Time 분석입니다.
MAC Time이란 파일의 M(Modified, 수정일시)·A(Accessed, 접근일시)·C(Created, 생성일시) 세 가지 타임스탬프를 의미합니다. 윈도우 환경에서 파일을 복사·이동·삭제할 때, 이 세 가지 타임스탬프 값이 특정한 규칙에 따라 변경되거나 유지됩니다. 더프라임은 이러한 규칙에 기반하여, USB에 저장된 파일들이 과연 반출자의 주장대로 ‘과거부터 업무상 보관해 오던 파일’인지, 아니면 특정 시기에 집중적으로 복사된 파일인지를 분석하였습니다.
분석 결과는 반출자의 해명과 정면으로 배치되었습니다. 퇴사가 임박한 특정 시기에 수천 개의 파일이 하드디스크에서 USB로 대량 복사된 흔적이 명확하게 확인된 것입니다. 이는 반출자가 주장한 ‘과거부터 보관하던 자료’라는 해명이 거짓임을 보여주는 결정적인 증거였습니다.
4. 분석 3단계 — 오피스 임시파일로 경쟁사 열람 증거 확보
퇴사자가 반출한 파일 대부분은 워드(Word) 또는 엑셀(Excel) 형식의 마이크로소프트 오피스 문서였습니다. 오피스 프로그램은 파일을 열 때 특정한 이름 규칙을 가진 임시파일(~.docx 등)을 자동으로 생성합니다. 이 임시파일은 사용자가 의도적으로 삭제하지 않는 한 흔적이 남게 됩니다.
법무법인 더프라임은 USB 내 기존 파일과 복구된 삭제 파일 중에서 이러한 임시파일의 존재를 정밀하게 확인하였습니다. 그 결과, 반출자가 단순히 파일을 복사해 간 것에 그치지 않고, 경쟁 회사로 이직한 이후 특정 영업비밀 파일을 실제로 열람한 사실까지 확인할 수 있었습니다. 이는 영업비밀 유출뿐 아니라 경쟁사에서의 부정 사용까지 입증할 수 있는 핵심 증거였습니다.
마치며 — 영업비밀 유출, 디지털 포렌식 전문가의 분석이 승패를 가릅니다
의뢰인은 더프라임의 포렌식 분석 결과를 통해, 퇴사 직원이 퇴사 직전 대규모 영업비밀을 USB로 반출하였을 뿐 아니라 경쟁사에서 이를 실제로 열람·활용한 사실까지 확인하였습니다. 현재 의뢰인은 이 분석 결과를 토대로 부정경쟁방지 및 영업비밀보호에 관한 법률 위반에 따른 민·형사상 조치를 준비하고 있습니다.
영업비밀 유출 사건의 디지털 포렌식은 단순히 삭제 파일을 복구하는 것만으로는 충분하지 않습니다. MAC Time 분석, 임시파일 추적, 파일 시스템 메타데이터 해석 등 법적 증거로서의 가치를 갖춘 고도의 분석 역량이 필요하며, 이는 단순 파일 복구에 특화된 일반 사설 포렌식 업체에서는 기대하기 어려운 영역입니다.
퇴사 직원의 영업비밀 유출이 의심되신다면, 경찰대 출신 디지털 포렌식 전문 변호사가 직접 분석하는 법무법인 더프라임의 조력을 받아보시기 바랍니다.
[법무법인 더프라임 상담 안내]
– 상담전화: 1555-5112
– 홈페이지: primelaw.co.kr
– 서울주사무소: 서울 강남구 봉은사로 207, 10층 (언주역 인근)
– 대구분사무소: 대구 수성구 청수로 133, 4층 (황금역 인근)
관련 법령: 부정경쟁방지 및 영업비밀보호에 관한 법률 | 개인정보 보호법
