오전 9시, 오후 3시, 또는 밤 10시에 직원들이 무슨 일을 하고 있는지 여러분은 알고 있는가? 과거와 달리 현재의 IT 관리자들은 대개 이
오전 9시, 오후 3시, 또는 밤 10시에 직원들이 무슨 일을 하고 있는지 여러분은 알고 있는가? 과거와 달리 현재의 IT 관리자들은 대개 이 질문에 자신 있게 “그렇다”라고 답할 수 있다.
음성을 포함한 여러 기능이 IP 기반 네트워크로 융합됨에 따라 온라인에서 기업 규정을 위반하는 사례도 증가하고 있다. 직원들은 의도적이든 실수든 기업의 지적 재산과 영업 기밀을 유출시키고, 성희롱 또는 아동 포르노와 관련된 법규를 위반하고, 열심히 일하는 듯 보이지만 실상은 시간을 허비하곤 한다.
이러한 문제점과 더 엄격해진 규정 요건에 대처하고자 조직에서는 웹 사이트를 필터링/차단하고 이메일을 검사할 뿐만 아니라 직원들이 소셜 네트워크나 블로그에 올리는 글에 대해서도 감시를 시작했다. 직원이 집에서 회사 자산이 아닌 개인용 기기로 올리는 글조차 감시 대상이다.
기업은 직원의 휴대폰 통화와 문제 메시지 내역을 수집하고 보관하며, 직원이 소지한 스마트폰의 GPS 기능을 사용해 직원의 위치도 추적할 수 있다.
e폴리시 인스티튜트의 이사인 낸시 플린은 IT 직원들은 종종 디지털 감시 작업을 떠맡곤 하는데, 이는 IT 직원들이 그 일을 하기에 가장 적합한 지식을 보유하고 있기 때문이라고 전했다.
플린을 비롯한 업계 전문가들은 구체적인 수치를 언급하기는 어렵지만 모니터링과 감시가 IT 업무에서 차지하는 비중이 점차 커질 것으로 예상하고 있다.
플로리다 공과 대학교 부설 네이던 M. 비스크 경영 대학의 부교수로 IT 보안을 연구하는 마이클 워크맨은 평균적인 IT 관리자의 업무 시간 중 모니터링의 비중이 20% 이상일 것으로 추산하고 있다.
그러나 대부분의 IT 전문 인력들은 자신이 이런 방법으로 직장 동료를 감시하는 역할을 맡게 되리라고는 미처 생각하지 못했다. 직원 모니터링 업무의 증가에 대해 이들은 어떻게 생각할까?
워크맨에 따르면 반응은 제각각이다. 보안을 전문적으로 다루는 사람은 이러한 일을 타당한 IT 업무로 받아들인다. 그러나 네트워크 관리자와 같이 다방면의 IT 업무를 담당하는 사람은 보통 이런 일을 달갑게 여기지 않는다는 것이다.
컴퓨터월드가 IT 관리자들을 대상으로 직원 모니터링/감시에 대한 경험과 생각을 조사한 결과, 직원들을 감시하는 일에 대해 불쾌함을 느끼는 경우부터 “시스템 무결성을 지키기 위한 일”이라고 굳게 믿는 경우에 이르기까지 다양한 시각이 존재하는 것으로 나타났다. 이들의 이야기를 살펴보자.
내키지 않는 경찰 역할
매사추세츠 주 캔톤에 위치한 에너지 및 건설 자동화 기업인 ENE 시스템즈에서 모니터링은 IT 업무 중에서도 비중이 큰 축에 속한다.
140명의 직원을 보유한 자산 3,000만 달러 규모의 이 회사에서 네트워크 서비스 관리자를 담당하고 있는 이는 배리 톰슨이다. 그에 따르면 ENE 시스템즈는 기존에도 IT 인프라의 보안을 재구성하고 개선하는 작업을 진행 중이었지만, 개인 데이터 보안에 대한 새로운 주 법률이 3월부터 시행됨에 따라 온라인 활동 모니터링의 비중을 늘려야 했다.
과거에는 직원이 회사 정책을 위반하고 있다는 현장 상사의 의심이 있는 경우에만 마이크로소프트 ISA 서버 로그에서 해당 직원이 접속하는 웹 사이트를 확인했다고 톰슨은 말했다.
그러나 지금은 5명의 IT 직원 중 한 명이 별도의 요청이 없어도 주기적으로 이 로그를 검토하고 있다. 톰슨은 “일주일에 한 번씩 로그를 훑어보며 검토가 필요한 사항이나 공개해야 할 사항이 있는지 확인한다”고 말했다. 그에 따르면 포르노, 도박 또는 증오 선동과 관련된 활동에는 자동으로 빨간색 깃발이 달리게 된다.
톰슨에게나 담당 직원에게나 이 일이 그다지 달갑지는 않다. 톰슨은 “우리는 IT 직원이지, 감시자가 아니다. 난처한 일이지만 IT 부서로 이 업무가 떨어졌다”라고 말했다.
그나마 위안이 되는 부분은 IT 직원이 정책을 위반한 직원을 직접 대면할 필요는 없다는 점이다. 그냥 찾기만 하면 된다. 문제가 발생하면 IT 직원은 톰슨에게 보고하고, 톰슨은 이 위반을 해당 직원의 상사에게 보고할지 여부를 판단한다.
그가 맡은 역할은 마치 상점에서 물건을 훔치는 아이를 잡았지만 처음에는 경고만 주고 그냥 풀어주는 친숙한 동네 경찰관과 같다. 톰슨은 “정책을 위반한 직원의 말을 들어보고 직감에 따라 대처한다”라며 “상대방이 거짓말을 하면 금방 알 수 있다”고 말한다.
톰슨은 이 회사에서 일한 10년 동안 부적절한 인터넷 사용을 해당 직원의 상사에게 공식적으로 알린 사례는 두 건뿐이었다고 말했다.
톰슨은 이에 대해 “우리는 주기적으로 직원들에게 모든 인터넷 접속 내역이 모니터링되고 기록된다는 것을 알리기 때문에, 직원들은 감시를 받는다는 사실을 잘 안다”라며 “그 덕분에 대부분의 직원들이 정직하게 행동하는 것”이라고 설명했다.
ENE 시스템즈의 제품으로는 에너지, 자동화 시스템 외에도 웹 사이트, 이메일을 비롯한 기타 IT 서비스가 있다.
톰슨은 보스턴 공립 학교, 스테이트 스트리트 은행과 같은 대형 기관을 포함한 ENE의 고객들 사이에서도 직원 모니터링에 대한 관심이 높아졌다면서 “예를 들어 직원이 어떤 일을 하는 중에 컴퓨터 바이러스에 감염되었는지와 같은 정보를 얻고자 하는 고객이 많아지고 있다”라고 전했다.
톰슨은 어떤 고객으로부터 스펙터소프트(SpectorSoft) 소프트웨어를 직원들 PC에 비밀리에 설치해달라는 요청을 받고는 도덕적인 딜레마에 빠진 적이 있다. 스펙터소프트는 이메일, 채팅, IM, 웹 사이트 방문 기록, 검색 내용, 프로그램 실행, 파일 전송을 포함한 모든 활동을 기록한다. 심지어 키 입력도 기록하고 스크린샷도 찍는다.
조경 업체인 이 고객사의 사장은 자사 직원이 PC에 무엇을 설치하는지 물을 경우 거짓말을 해달라고 부탁까지 했다. 참고로 대부분의 기업이 직원 지침서에 모니터링 정책에 대해 자세히 밝히긴 하지만, 직원의 모니터링을 의무적으로 알리도록 법제화한 주는 델라웨어와 코네티컷 주뿐이다.
톰슨은 당시 “선을 넘어섰다”는 이유로 이 요청을 거절했다고 말했다. 그의 말이다.
“그 회사 사장에게 ‘소프트웨어를 설치하고 사용하고 직원을 모니터링하도록 도와 줄 수 있다. 어떤 직원이 잘못된 행동을 하면 그 직원을 해고하는 데 필요한 정보를 수집하는 일도 도울 수 있다. 얼마든지 할 수 있는 작업이다. 그러나 눈을 마주보며 거짓말은 못하겠다’라고 말했다.”
톰슨에 따르면 그 고객은 기분은 약간 언짢았지만 결국 톰슨의 입장을 수긍했다고 한다.
유능한 감시자
“대릴(가명)”은 영국에 소재한 중간 규모의 제조업체 IT 관리자다. 그는 회사의 이익을 보호하기 위해 IT 부서에게 직원의 활동을 모니터링할 권리와 의무가 있다고 믿는 편에 속한다.
그는 과거에 회사에 큰 금전적 손실을 입힐 뻔했던 지적 재산권 범죄에 연루된 직원을 잡아낸 적이 있다.
대릴은 바로 CEO에게 보고했고, 그 직원은 해고됐다. CEO는 회사 입장이 난처해질 상황을 우려해 소송까진 하지 않았다.
대릴은 직원을 감시하는 일 자체에는 아무런 불만이 없다. 다만 올바른 방식으로 그 일을 하지 못한다는 점이 불만이다.
그는 대학에서 정보 보안/범죄 과학 과정을 통해 영국 법원에서 인정하는 방식으로 디지털 증거를 보존하는 방법을 배웠다. 노트북에 있는 정보의 증거 능력을 보존하려면 하드 드라이브를 분리해 복제한 다음 원본 증거(하드 드라이브)는 건드리지 않고 그대로 두고, 복제본을 조사해야 한다. 그러나 상사들은 이러한 절차에 신경을 쓰지 않는다.
대릴은 “상사가 원하는 방식은 부적절하다”고 주장했다. 예를 들어 복제 단계를 생략하고 원본 하드 드라이브를 바로 조사하라고 지시한다는 것이다. 대릴은 “이 경우 기소에 성공할 가능성이 거의 없다. 부적절한 증거 수집 방식 탓에 그 증거의 증거 능력이 무효화되기 때문”이라고 말했다.
IT 담당 직원들의 법적인 지식에 있어서 대릴은 예외적인 경우에 속한다. 디지털 증거 수집과 고용법 관련 기술 사안을 전문적으로 다루는 립슨, 닐슨, 콜, 셀처 & 가린 PC에 소속된 변호사인 제이슨 M. 쉰은 대부분의 IT 관리자는 올바르게 증거를 보존하는 방법을 모르고, 심지어 법적으로 유효한 정보가 무엇인지조차 알지 못하는 경우가 많다고 지적했다.
그는 이 문제를 극복하기 위해 사내 변호사와 인사 담당자도 모니터링 작업에 참여해야 한다고 조언했다.
디지털 위반 현황
기업들은 갈수록 더 빈번하고 더 세밀하게 직원을 모니터링하고 있을 뿐만 아니라, 규정을 위반하는 직원을 발견할 경우 더욱 엄격하게 징계하고 있다. 일부는 회사 규정을 어긴 직원을 해고하기도 한다.
정책 위반을 이유로 직원을 해고하는 회사에서 위반 항목의 비율은 다음과 같다.
인터넷 – 26%
이메일 – 26%
휴대폰 – 6%
인스턴트 메시징 – 4%
문자 메시지 – 3%
소셜 네트워킹 – 2%
비디오 공유 – 1%
개인 블로그 – 1%
회사 블로그 – 1%
미국 경영 협회와 이폴리시 인스티튜트가 공동으로 진행한 2009년 설문. 설문 대상 기업의 13%는 면접 절차의 일부로 지원자의 소셜 네트워킹 사이트나 개인용 블로그를 점검한다고 답했으며, 3%는 이러한 사이트에 올려진 내용을 이유로 채용을 거부했던 사례가 있다고 밝혔다.
양심적 거부자
500명의 직원을 보유한 노스다코타 주 미놋의 파스타드 오일에서 IT 디렉터로 일하는 댄 올슨은 “사용자(직원)가 우리를 두려워하면 우리 일이 10배 더 힘들어진다는 것이 IT 부서원들의 생각”이라고 말했다.
IT에 대한 두려움은 파스타드의 오랜 문제이기도 하다. 1990년대 중반, 한 관리자가 온라인 채팅에 너무 많은 시간을 소비하는 어떤 직원을 적발한 이후, IT 부서는 직원을 모니터링하고 PC에서 업무와 무관한 활동을 할 경우 바로 보고하라는 명령을 받았다.
올슨은 “우리는 그 일에 동의한 적도 없고, 그 일과 관련해서 우리에게 상의를 해온 적도 없다”고 말했다. 정책으로 명시된 것도 아니어서 그는 대부분의 경우 그 지시를 무시했다. 그럼에도 불구하고 이후 2년은 IT 부서에게 힘든 시기였다. 모든 직원들은 결백이 입증되기 전까지는 IT 부서가 자신을 의심할 것이라고 여겼기 때문이다.
어느 날 파스타드 경영진은 직원들이 개인적인 용도로 IM을 사용하지 않을까 우려하기 시작했다. IM은 지리적으로 널리 분산된 파스타드의 각 지부가 의사 소통을 위해 자주 사용하는 방법이었다. 경영진은 직원들에게 사적인 IM 사용을 경고하는 메모를 전달했고, 이는 직원들의 동요를 가중시켰다. 올슨은 “하루는 사무실 여기저기로 짐을 날랐는데, 내가 지나가면 근처의 직원들이 재빨리 마우스를 클릭해서 보고 있던 창을 닫았다”고 말했다.
올슨은 이러한 두려움이 생산성에 오히려 역효과를 초래한다고 주장했다. 예를 들어 직원의 PC가 바이러스에 감염되더라도 무엇을 하다가, 또는 어떤 웹 사이트를 보다가 감염되었는지 말하려 들지 않는다는 것이다.
그 사건 직후 올슨은 제한을 완화할 것을 경영진에 설득했다. 경영진에게 IT 부서가 항상 직원들을 감시할 수는 없음을 설명하고, 상급 관리자가 직원의 업무 태만을 보고할 경우에만 로그를 확인하기로 한 것이다.
새 정책이 시행된 후 직원과 IT 담당자들 사이의 업무 관계가 훨씬 더 원활해졌다. 직원들은 기술적인 문제가 발생하면 IT 부서에 더 적극적으로 알려왔고, 덕분에 IT 부서는 문제를 해결하는 데 필요한 정보를 얻게 됐다.
모니터링은 이미 대세
그러나 앞으로 파스타드와 같이 최소한의 모니터링만 시행하는 정책을 두는 업체는 점차 줄어들 것이 유력하다. 업계 전문가들은 비디오 감시, 문자 메시지 점검, GPS를 통한 직원 위치 추적 또는 소셜 미디어 감시와 같은 모니터링 업무가 앞으로 IT 관리자들에게 더 많이 주어질 것으로 전망하고 있다.
대기업들은 외부 업체에 블로그스피어와 소셜 미디어 사이트에서 회사의 평판을 모니터링하는 일을 맡기기 시작했지만 중소기업의 경우 이런 일은 대부분 IT 부서가 맡게 될 것이다.
IT 관리자들은 이러한 방향으로의 업무 확장에 저항할까, 아니면 자신의 묵묵히 업무로 받아들일까? 플로리다 공과 대학의 워크맨은 “그 일을 하기는 하지만 마음이 편하지는 않을 것”이라고 말했다.
직원의 행동을 모니터링하라는 지시를 받는다면 어떻게 하겠는가? 거부할 것인가, IT 업무로 받아들일 것인가?
적절한 직원 모니터링
전문가들은 직원을 모니터링하라는 지시를 받을 경우 회사와 여러분 자신을 지키기 위해 다음과 같은 단계를 밟을 것을 권장한다.
* 이메일과 웹(블로그, 소셜 네트워크 포함)에서 해도 되는 이야기와 그렇지 않은 이야기를 명시하는 공식적인 인터넷 사용 정책을 서면화해 직원들에게 공개한다.
* 이러한 정책을 시행하는 근거를 설명하고(예: 직원이 온라인에 올리는 글로 인해 회사가 소송 위험에 처할 수 있음), 어떤 부분이 어떤 방법으로 모니터링되는지 구체적으로 알리고 정책을 위반할 경우 어떻게 되는지 밝힌다.
* 새로 입사한 직원들에게 이 정책을 읽도록 하고, 지속적인 교육 및 인식 프로그램을 통해 직원들을 교육하고 정책을 상기시킨다.
* IT 부서가 위반을 발견할 경우 따라야 할 명확한 절차를 수립한다. 이 절차에는 위반 사항을 누가 누구에게 보고할지, 어떻게 문서화할지, 위반자에게 누가 알릴지 등이 포함되어야 한다.
* 가장 좋은 방법은 IT, 법무, 인사 담당자가 정책 수립과 시행 과정에 참여하는 것이다. 특히 법무 담당자는 잠재적인 형사 고발 또는 민사 소송과 관련된 디지털 증거를 취급하는 데 대한 지침을 제공해야 한다. 회사 내부에 변호사가 없는 경우 고용법, IT 및 전자 증거 발견에 정통한 외부 변호사를 고용해야 한다.
* IT부서 역시 모니터링되고 있다는 사실을 명심한다. 데이터 보호 및 보안 컨설팅 기업인 포네몬 인스티튜트의 설립자이자 회장인 래리 포네몬은 IT 직원은 인식하지 못할 수 있지만 많은 기업들은 IT 부서 임직원들을 모두 모니터링하고 있다며 “IT 직원들은 감시자를 감시하는 사람도 있다는 사실을 알면 아마 놀랄 것”이라고 말했다.
dl-ciokorea@foundryco.com
