• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

업무 환경 변화, 빅 브라더도 어쩔 수 없을 것이다 2014.11.05

회사 입장에서는 감시가 불가피한 부분 분명히 있어

프라이버시 보호 자체는 이미 가능, ‘어떻게’가 문제


[보안뉴스 문가용] 직원을 감시하는 툴들이 날마다 발전하고 있다. 키보드 로깅, 핸드폰 터치, 추적 장치, 심지어 직원이 자리에서 일어날 때마다 진동하는 의자까지 대동해 회사는 직원들이 취하는 모든 움직임을 하나하나 살필 수 있게 되었다. 물론 이런 환경이 일반적이라고 말할 수는 없다. 하지만 분명 존재하는 일이며, 우리로서는 새롭게 논해야 할 윤리의 또 다른 문제이다.

 

 ▲ 우리도 어쩔 수 없을 수도 있거나 아니거나 말거나...

그렇다면 먼저 회사가 왜 직원들을 감시하는지부터 알아보자. 일단 캔서스대학에서 최근 조사한 “사이버로핑(업무 목적 혹은 특별한 목적 없이 인터넷을 하며 시간을 때우는 것)의 오해와 진실, 그리고 효과”에 따르면 직원들이 회사에서 인터넷을 하며 보내는 시간 중 60%~80%가 업무와 하등 상관이 없다고 한다. 또한 77%의 사람들이 회사 컴퓨터로 소셜 미디어 활동을 하고, 49%의 여성이 휴가철에는 회사 컴퓨터로 온라인 쇼핑을 즐기며, 20%의 남성이 사무실에서 포르노그래피를 본다고 한다.


그러니 사실 회사에서는 감시할 만도 하다. 그래서 계약이나 동의 하에 수용 가능 사용 정책(Acceptable Use Policies)를 도입하고 계속해서 발전하고 있는 데이터 손실 방지(Data Loss Prevention)를 설치하며 심층 패킷 분석(Deep Packet Inspection) 혹은 심지어 스파이웨어까지 동원한다.


물론 회사가 자사의 네트워크 내에 흐르는 정보를 감시할 권리는 분명히 가지고 있다. 적어도 미국 법은 그렇다. 회사는 주주, 고객, 직원들을 보호해야 할 책임이 있기 때문이다. 하지만 그렇다고 미국 법이 회사의 감시 활동을 적극 지원하는 건 절대 아니다. 오히려 포기하기 좋을 정도로 빡빡하기까지 하다.


유럽, 프라이버시와 인권을 하나의 문제로 보다

미국에서야 현실이 어쨌든 ‘감시할 권한을 회사가 어느 정도는 가지고 있다’고 말할 수 있지만 그런 말조차 꺼낼 수 없는 곳도 있다. 가장 대표적인 곳이 유럽이다. 유럽은 프라이버시와 인권을 오래 전부터 깊이 고민해온 곳으로 업무 환경 내의 인권 보호를 보장하는 정보보호법이란 걸 보유하고 있으며 현재 개정 중에 있다.


유럽인권보호조약 8.1항에는 “인간 모두가 개인과 가족의 삶, 가정, 관계를 존중할 권리가 있다”고 명시되어 있다. 또한 인권재판소 판례에는 이 8항을 해석함에 있어서 “직업에 종사하는 사람으로서의 삶까지도 포함한다”라는 부분도 있다. 그리고 이 법문과 판례는 세계 곳곳의 재판소에서 그대로 인용되고 있기도 하다. 하지만 현재 유럽을 제외한 세계 대부분의 회사 대표들은 직원의 개인 소유 기기를 제외하고는 그 어떤 정보에도 접근할 수 있다.


잠깐, 왜 감시가 필요하다고?

네트워크의 감시를 먼저 생각해보자. 여기에는 정보가 저장되어 있고 거의 항상 끊임없는 공격 시도가 이루어지고 있다. 그래서 CIO들과 CISO들은 자꾸만 넓어져가는 회사 네트워크의 범위를 항상 살피며 손바닥 들여다보듯 현황을 파악하려고 한다. 네트워크의 범위 확대는 시간적인 개념도 포함한다. 이제 직원들은 회사 밖에서도 24시간 회사 정보를 접할 수 있게 된 것이다. 그래서 경영진은 ‘직원으로서는 프라이버시에 대한 권리가 없다’고 주장하면서 직원들의 인터넷 사용 현황을 감시하려고 한다.


결국 네트워크 내 데이터를 보호하려면 프라이버시 침해가 있을 수밖에 없다는 것이 회사 입장이라는 것인데, 이는 아직까지 합법의 선 안에 머물러 있다. 하지만 나는 개인적으로 결과가 최선이라면 그 결과를 얻어내는 데 사용했던 모든 방법이 자동으로 정당화된다고 믿지 않는다. 게다가 기업들이 정말 데이터를 보호하기 위해 프라이버시를 침해할 수밖에 없는지 의문이다. 나는 회사가 방법을 더 열심히 찾아보지 않고 있으며 간편하게 권력 행사를 선택한 것 뿐이라고 생각한다. 정말 이게 맞는지, 프라이버시를 침해하는 방법밖에 없는지 다시 물어봐야 한다.


문제의 근원은 결국 우리 개인의 삶이 업무와 점점 섞여 들어가고 있다는 것이다. 사적인 목적으로 사용하는 기기로 업무도 하고, 업무 목적인 기기로 사생활을 즐기고 있기 때문에 회사로서는 개인 공간을 의도적이든 아니든 일정 부분 침해할 수밖에 없는 현상이 나타나고 있다. 그렇다고 우리 개개인이 그런 현상을 넋 놓고 바라만 봐야 하는 것도 아니다. 우리에겐 개인 활동 영역을 유지하면서 보호할 수 있는 기술과 능력이 모두 있는 상태다. 프라이버시 문제가 요즘 뜨거운데, 문제는 할 수 있다 없다가 아니라 ‘어떻게’라는 것에 있음을 잊지 말아야 한다. 프라이버시 보호는 이미 얼마든지 가능한 영역이다.


현대의 기술과 여건 속에서 우리는 과연 ‘어떻게’ 프라이버시를 보호해야 할까? 여러분들과 의견을 교환하고 싶다. 우리를 지켜보고 있는 사람들에 대한 성토 말고.


글 : 데이비드 멜닉(David Melnick)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>