나라, 지역, 사람마다 다른 프라이버시 개념

과도한 조사는 오히려 마비를 불러와

블랙햇 때문에 잠시 쉬었던 BYOD 정책 연재(총 5부)를 재개합니다.

1편을 보시려면 여기를 클릭,

2편을 보시려면 여기를 클릭,

3편을 보시려면 여기를 클릭하세요.

[보안뉴스 문가용] 지난 3편에서는 BYOD 정책을 만들 땐 정보 자체와 시스템 접근을 위주로 해야 한다는 걸 강조했다. 그래야 회사 입장에서 개인 소유인 기기를 관리하는 게 아니라 회사 소유인 ‘데이터’를 관리하는 그림을 형성할 수 있기 때문이다. 그런데 이게 말은 쉽지 실제로 해보려면 여간 헷갈리고 어려운 것이 아니다.

가장 범하기 쉬운 실수는 역시나 회사의 입장을 너무 고려하여 직원들의 프라이버시를 침해하는 것이다. 이 직원이 이를 문제 삼아 법정 싸움이라도 벌어지게 되고, 아직은 프라이버시를 조금 더 인정해주는 법리 상 법원에서 그 직원의 손을 들어준다면 회사의 정보가 담겨있는 그 직원의 기기에 대한 권한을 깡그리 잃어버릴 수가 있다.

직원들은 개인 기기를 직접 소유하고 있으며, 그 소유권에 대한 침해를 당연히 기분 나쁘게 여긴다. 기기를 팔거나 분실했을 때 그 안에 담긴 정보를 전부 지우라는 아주 기본적인 방침도 사람에 따라서는 과도한 참견처럼 느껴질 수 있다. 이런 개인의 감정을 고려하지 않고 정책을 세우면 어떻게 될까? 직원들은 점점 더 교묘하게 그 정책을 피해 자신들의 일을 할 것이다. 넷아이큐(NetIQ)의 웹(Webb) 씨는 “회사가 눈 속임을 권장하는 꼴이죠”라고까지 표현했다.

기업 입장에선 그러므로 암호를 강하게 설정하라거나 민감한 정보에 접근하기 전에 기기를 회사가 정해진 안전한 상태로 만들라거나 하는 식의 좀 더 기본적인 것에 초점을 둘 필요가 있다. “기기의 소유권을 존중해주는 정책이라면 직원들 역시 회사의 방침을 존중해 줍니다. 반면 회사가 직원들이 구매할 수 있는 기기의 종류까지 정해주고 관리까지 하려들면 아무도 그 정책을 지키지 않습니다.” 웹 씨의 설명이다.

다국적인 기업이라면 이 부분에 더 만전을 기해야 한다. 나라마다 프라이버시에 대한 개념과 정서가 다르고, 그에 대한 대처법도 다르기 때문이다. 상사가 부하직원이 사용하는 애플리케이션을 종료하지도 못하게 하는 나라가 있는가 하면 회사에서 직원들이 사용할 수 있는 기기를 규정해주는 것도 용인되는 나라가 있다. 이 부분을 소홀히 하면 애써 마련한 BYOD 정책 자체가 물거품이 될 뿐 아니라 법정 싸움에 휘말릴 수도 있다.

또 다른 실수를 꼽자면, 이런 저런 변수를 너무 자세하게 조사하는 바람에 다른 할 일을 못하게 되는 경우가 있다. “제가 아는 사장님은 3년 전에 저한테 BYOD 정책 상담을 하시더니 최근까지 한 글자도 못 쓰고 계시더군요.”

“정책을 얼른 정하지 않으면 회사 내 분위기가 저절로 형성되고 정착됩니다. 그렇게 자연발생한 것을 ‘정책’이나 사장의 권한으로 조정하려 들면 반발감이 엄청나죠. 애초에 조정이 가능하지도 않고요. 모든 변수를 다 손안에 쥐고 흔들려고 하지 말고 가장 좋은 결과를 내기 위해 포기해야 할 것이 무엇인지도 판단해야 합니다. 또한 한 번 정해진 정책이라고 해서 수정하지 말란 법도 없고요.”

(다음 마지막 편에서는 정책을 실제로 구현하는 단계에 대한 이야기를 해보겠습니다.)

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>