태그 보관물: 비밀유지계약

인사이트, 테크 인사이트

비밀 유지 계약(NDA)을 맺고도 가격을 공개했다면? — 보일러플레이트의 함정과 집행의 한계

댓글 남기기

대표 이미지

비밀 유지 계약(NDA)을 맺고도 가격을 공개했다면? — 보일러플레이트의 함정과 집행의 한계

단순한 서명보다 중요한 것은 '누가, 무엇을, 어떻게' 보호할 것인가에 대한 구체적인 설계입니다.

최근 커뮤니티에서 꽤 황당한 사례를 하나 봤어요. 분명히 NDA(비밀유지계약)를 체결한 상태인데, 어떤 업체가 “기밀 가격 $24,950″이라는 문구를 그대로 적어서 가격 정보를 외부에 노출해버린 거죠 [1]. 정작 본인들은 “우리 NDA 상태니까 공유하면 안 된다”라고 리마인드까지 하면서, 정작 가격은 다 까발린 꼴이에요. 아마 엉뚱한 계약자를 선정했거나, 계약서가 있어도 실질적인 관리가 전혀 안 된 상황이었겠죠.

여기서 우리가 짚고 넘어가야 할 핵심이 있습니다. 많은 분이 NDA에 서명만 하면 내 정보가 마법처럼 보호될 거라고 믿으시거든요. 하지만 사실 NDA는 서명하는 행위 자체로 보호가 완성되는 마법의 문서가 아니에요. 구체적인 범위 설정과 제3자 관리 전략이 꼼꼼하게 결합되어야만 겨우 작동하는, 생각보다 훨씬 불완전한 안전장치에 가깝습니다.

NDA라는 ‘심리적 안전감’이 만드는 치명적 착각

현업에서 프로젝트를 하다 보면 “일단 NDA부터 쓰고 얘기하시죠”라는 말을 정말 많이 듣습니다. 그런데 정작 계약서를 뜯어보면 대부분 어디서 다운로드했는지 모를 ‘보일러플레이트(Boilerplate)’, 즉 표준 템플릿을 그대로 쓴 경우가 태반이에요. 비즈니스의 특성이나 이번 거래에서 진짜 위험한 리스크가 무엇인지 고민하지 않고 그냥 관습적으로 쓰는 거죠.

문제는 여기서 발생합니다. 서명만 하면 정보가 자동으로 보호된다고 믿지만, 실제 법정으로 가면 이야기가 달라져요. 구체적인 정의가 없는 계약서는 법관이 보기에 “대체 무엇을 보호하려 했는가”에 대해 설득력이 떨어지거든요.

“Businesses often default to using boilerplate NDAs without careful consideration of the specific business purpose or the transaction risk at hand” [2]

기업들이 구체적인 비즈니스 목적이나 거래 리스크를 깊이 고려하지 않고 보일러플레이트 NDA를 기본값으로 사용하는 경향이 있으며, 이는 결국 법정에서 보호 실패로 이어질 수 있다는 뜻입니다.

결국 잘못된 계약자를 선정했거나, 계약 이후에 정보가 어떻게 흐르는지 관리하지 않았다면 그 멋진 NDA 문서는 그냥 종이 뭉치에 불과하게 됩니다.

법원이 NDA를 거부하는 3가지 결정적 이유

그렇다면 법원은 어떤 경우에 “이 NDA는 효력이 없다”라고 판단할까요? 크게 세 가지 기술적인 이유가 가장 흔합니다.

첫째는 모호한 정의입니다. “우리 회사가 제공하는 모든 정보는 기밀이다”라고 적는 경우가 많은데, 범위가 지나치게 넓거나 모호하면 법원에서는 오히려 보호 가치가 없다고 볼 가능성이 큽니다 [4].

둘째는 과도한 제한이에요. 예를 들어, 말도 안 되게 긴 비밀유지 기간을 설정하거나, 합리적이지 않은 수준의 경업금지 조항을 넣는 경우입니다. 이렇게 상대방에게 너무 가혹한 조항이 포함되어 있으면, 법원은 해당 조항만 삭제하는 게 아니라 NDA 계약 전체를 무효로 선언해버리기도 합니다 [2].

셋째는 입증 책임의 어려움입니다. “상대방이 정보를 유출했다”는 사실만으로는 부족해요. 그 유출로 인해 우리 회사가 어떤 ‘실질적인 손해’를 입었는지를 구체적으로 증명해야 하는데, 이게 실무적으로 정말 어렵습니다 [4].

가장 위험한 사각지대: ‘제3자’와 ‘대리인’의 함정

엔지니어분들이나 PM분들이 가장 많이 놓치는 부분이 바로 이 지점입니다. 바로 ‘제3자’ 문제입니다. NDA는 기본적으로 계약서에 도장을 찍은 ‘당사자’들끼리만 효력이 있어요.

예를 들어, 제가 A사와 NDA를 맺고 정보를 줬는데, A사가 업무 효율을 위해 B라는 하청업체에 그 정보를 전달했다고 칩시다. 이때 A사와 B사 사이에 별도의 NDA가 없다면? B사가 그 정보를 외부에 뿌려도 제가 B사에게 직접 NDA 위반으로 책임을 묻기는 매우 어렵습니다 [3].

혹시 “A사가 B사를 시켜서 한 거니까 A사의 대리인 아니냐”라고 생각하실 수도 있어요. 하지만 법원은 계약 당사자가 아닌 엔티티에게 의무를 지우려는 이른바 ‘대리인 이론(Agency Theories)’을 쉽게 받아들이지 않는 경향이 있습니다 [2]. 결국 하청의 하청으로 이어지는 공급망 속에서 정보는 너무나 쉽게 ‘법적 보호 구역’ 밖으로 탈출하게 됩니다.

안티패턴: ‘무조건 다 비밀’이라고 적는 것이 위험한 이유

가끔 의욕 앞선 매니저분들이 “빈틈없이 막아야 한다”며 모든 것을 기밀로 지정하는 안티패턴을 보입니다. 하지만 이건 오히려 독이 됩니다.

우선 포괄적 정의의 역설이 있어요. 모든 것을 기밀이라고 하면, 정작 정말 중요한 ‘핵심 기술’이나 ‘특수 정보’가 가진 고유한 가치가 희석됩니다. 법적 보호의 우선순위에서 밀려날 수 있다는 거죠.

더 위험한 건 공공정책 위반입니다. 내부 고발이나 법적 보고 의무까지 NDA로 막으려 하는 시도는 정말 위험해요. 실제로 미국 SEC는 직원들이 규제 당국에 부정행위를 보고하는 것을 금지하는 제한적인 NDA를 강요한 KBR사에 벌금을 부과한 사례가 있습니다 [5].

마지막으로 가장 최악은 관리 없는 문서화입니다. 계약서만 멋지게 써놓고, 정작 서버 접근 권한(Access Control)이나 문서 권한 관리는 엉망인 경우죠. 법적 서류가 기술적 보안의 부재를 메워줄 수는 없습니다.

짚고 넘어갈 한계와 균형점

물론 반대 의견도 있을 수 있습니다. “너무 구체적으로 범위를 정했다가, 예상치 못한 형태로 정보가 유출되면 오히려 보호 범위에서 제외되는 것 아니냐”는 걱정이죠 [2]. 일리가 있는 말입니다.

그래서 핵심은 ‘무조건 넓게’ 혹은 ‘무조건 좁게’가 아니라, 비즈니스의 핵심 자산이 무엇인지 정의하고 이를 유연하게 업데이트하는 프로세스를 갖추는 것입니다.

핵심 요약

  • 보일러플레이트 맹신 금지: 템플릿은 시작일 뿐입니다. 우리 사업의 특성에 맞게 수정하세요.
  • 제3자 관리 체계 구축: NDA는 당사자에게만 효력이 있습니다. 하청이나 제3자에게 정보를 줄 때는 반드시 별도의 NDA 체결을 의무화하는 조항을 넣으세요 [3].
  • 합리적인 범위 설정: 지나치게 엄격하거나 모호한 조항은 오히려 법원에서 계약 전체를 무효로 만들 수 있습니다.
  • 기술적 보안 우선: 법적 구제 수단인 NDA보다 더 확실한 건 기술적인 접근 제어와 권한 관리입니다.

마치며: 계약서는 방패가 아니라 ‘최후의 보루’입니다

NDA에 서명했다고 해서 안심하는 건, 안전벨트를 맸으니 눈을 감고 운전해도 된다고 믿는 것과 같습니다. 사고가 났을 때 피해를 조금 줄여줄 수는 있겠지만, 사고 자체를 막아주지는 않거든요.

결국 진정한 정보 보호는 종이 한 장의 계약서가 아니라, 정보가 누구에게 흐르고 어떻게 제어되는지를 관리하는 ‘거버넌스 프로세스’에서 옵니다. 단순히 법무팀에서 준 양식에 사인하는 것을 넘어, 우리 팀의 데이터가 어디로 흘러가는지 한 번 더 살펴보는 습관을 가지셨으면 좋겠습니다.

참고 자료 (References)

1. [reddit.com] When NDAs go wrong — https://www.reddit.com/r/programming/comments/1u9d9a0/when_ndas_go_wrong/ 2. [jdsupra.com] Pitfalls To Avoid When Drafting And Enforcing NDAs | Kilpatrick – JDSupra — https://www.jdsupra.com/legalnews/pitfalls-to-avoid-when-drafting-and-8030949 3. [acc.com] Issues Enforcing Nondisclosure Agreements (United States) | Association of Corporate Counsel (ACC) — https://www.acc.com/resource-library/issues-enforcing-nondisclosure-agreements-united-states 4. [sirion.ai] Do NDAs Hold Up in Court? Enforceability Explained – Sirion — https://www.sirion.ai/library/contracts/do-ndas-hold-up-in-court 5. [whistleblowers.org] Non-Disclosure Agreements and Whistleblowers – NWC — https://www.whistleblowers.org/non-disclosure-agreements-and-whistleblowers

관련 글 추천

  • https://infobuza.com/2026/06/19/20260619-qoc4n3/
  • https://infobuza.com/2026/06/18/20260618-blr6j3/

FAQ

NDA에 서명만 하면 모든 정보가 자동으로 보호되나요?

아니요. NDA는 서명만으로 보호가 완성되는 마법의 문서가 아니며, 구체적인 범위 설정과 제3자 관리 전략이 꼼꼼하게 결합되어야만 작동하는 불완전한 안전장치에 가깝습니다.

법원에서 NDA의 효력을 거부하는 주요 이유는 무엇인가요?

크게 세 가지입니다. 첫째는 기밀 범위가 지나치게 넓거나 모호한 '모호한 정의', 둘째는 지나치게 긴 비밀유지 기간 등 상대방에게 가혹한 '과도한 제한', 셋째는 유출로 인한 실질적인 손해를 증명해야 하는 '입증 책임의 어려움' 때문입니다.

NDA를 체결한 업체가 하청업체(제3자)에 정보를 전달해 유출된 경우, 하청업체에 책임을 물을 수 있나요?

어렵습니다. NDA는 기본적으로 계약서에 서명한 당사자들끼리만 효력이 있습니다. 하청업체와 별도의 NDA를 체결하지 않았다면, 하청업체에 직접 NDA 위반 책임을 묻기는 매우 어렵습니다.

모든 정보를 기밀로 지정하는 것이 가장 안전한 방법인가요?

아니요, 오히려 위험합니다. 모든 것을 기밀로 지정하면 정작 중요한 핵심 기술의 가치가 희석될 수 있고, 내부 고발이나 법적 보고 의무까지 막으려 할 경우 공공정책 위반으로 간주될 수 있습니다.

효과적인 정보 보호를 위해 NDA 외에 무엇이 더 중요한가요?

법적 서류인 NDA보다 더 확실한 것은 서버 접근 권한(Access Control)이나 문서 권한 관리와 같은 기술적인 보안 조치이며, 정보가 누구에게 흐르고 어떻게 제어되는지를 관리하는 거버넌스 프로세스가 중요합니다.

보조 이미지 1

보조 이미지 2