‘설마 그럴까’ 싶은 이씨의 사례는, 그러나 드문 일이 아니다. 2003년 7월31일 ‘노동자감시 근절을 위한 연대모임’(이하 감시근절모임)은 전국 207개 사업장을 대상으로 한 ‘노동 감시 실태조사’ 결과를 발표했다. 조사 대상의 89.9%가 각종 감시 시스템을 가동하고 있었다. 인터넷이나 하드디스크를 감시하는 비율도 각각 41.5%, 44%에 이르렀다. 사업장 규모가 클수록 감시 강도도 세졌다. 감시근절모임 측은 “실제 비율은 이보다 더 높을 수 있다. 노동조합 간부나 시스템 관련 직원을 대상으로 조사했는데, 감시 시스템의 특성상 노동자가 이를 인지하지 못했을 수도 있기 때문”이라고 밝혔다. 한 보안업체 사장은 “컴퓨터 네트워킹 시스템을 구축한 회사라면 일단 조심하고 볼 일”이라고 충고했다.
시민단체 조사에선 사업장 89.9%가 감시 시스템 가동
정보사회에서 이메일과 메신저 내용, 인터넷 로그 기록 등은 개인의 자아정체성 그 자체라 할 수 있다. 그런데 이를 마구잡이로 들여다보는 기업이 적지 않은 것이 우리 현실이다. 기업은 이메일 등 컴퓨터 감시에 대해 “기밀 유출을 막고 문제가 발생했을 경우 객관적 근거를 마련하기 위해서”라는 이유를 대고 있다. 그러나 감시근절모임 측은 “목적이 그뿐이라면 이메일 이용 기록이나 홈페이지 방문 기록을 1개월 넘게 보관하는 비율이 37.5%에 이르지는 않을 것”이라 반박하고 있다. 직무수행 평가, 노동조합 활동 감시, 인맥 파악 등 다른 목적이 있을 수 있다는 것이다. 국내 굴지 그룹 중에는 총수 이름 등 ‘보안 대상’이 되는 검색어가 담겨 있는 이메일은 모두 자동 검열하는 시스템을 갖춘 곳도 있다.
한 기업의 전산 담당자가 서버를 관리하고 있다.
다국적 시스템 구축 업체의 한 임원도 “명시적이지는 않지만 이메일을 자동 백업받거나 역추적이 가능한 시스템을 원하는 기업이 상당수”라고 말했다. 또 “기업에서 들고나는 이메일은 전자결제 시스템과의 연계 등으로 인해 서버에 차곡차곡 담기는 수가 많다. 서버 관리자가 이를 어떻게 해보겠다고 마음만 먹으면 못할 일은 아무것도 없다”고 말했다.
삼성SDI 노조원 휴대전화 위치추적 의혹과 관련해 1인 시위를 벌이고 있는 삼성 일반 노조원
대부분의 기업 보안 솔루션은 특성상 그 자체로 직원의 사생활을 들여다보는 도구가 될 수 있다. 바이러스 감염 등 각종 PC 장애를 원격 치료하는 시스템 또한 마찬가지다. SK그룹의 한 임원은 “전산 담당자를 자리로 부르지 않아도 되니 편하긴 한데 ‘정말 비밀은 없겠구나’ 하는 생각이 절로 든다”고 했다.
가장 일반적인 감청 프로그램은 인터넷 웹 페이지만을 긁어오는 것이다. 수십만 개 사이트를 주제별로 구분해, 직원이 그중 특정 부류 사이트에 들어가려 하면 이를 차단하면서 동시에 감시자에게 알려주는 기능을 한다. 현대자동차 그룹의 한 팀장은 “회사 보안관리팀으로부터 ‘당신 팀원 중 이러저러한 사이트에 접속하거나 오래 머무는 사람이 있으니 주의를 주라’는 공지문을 받는 경우가 있다”고 밝혔다.
직원이 주고받는 모든 이메일을 감청해주는 프로그램도 있다. 특정 단어를 미리 입력해뒀다가 사용자가 그 단어를 쳐 보내거나 수신하면 ‘부적절한 단어’라는 메시지를 띄워 현장 제재를 가능케 한다. 그러나 이 프로그램은 사용 범위만 넓히면 내용 전부를 볼 수 있음은 물론 자구 문자 수정까지도 가능하다.
직원 이메일 엿보기 위해 해킹 기법 사용하기도
한 보안 전문가는 “보통 사내 인트라넷이나 회사 이메일만 쓰지 않으면 안전하다고들 생각하는데 이는 잘못”이라며 “다음, 네이버 등 포털 사이트 이메일이나 메신저, 아웃룩 익스프레스 등을 사용해도 마음만 먹으면 얼마든지 볼 수 있다. 마이크로소프트 메신저 감청 전용 프로그램까지 있을 정도”라고 말했다. 그는 “만약 재택근무 등을 위해 집 PC에 인트라넷 프로그램을 깔아놓으면 그 또한 감시 대상이 될 수 있다”고 덧붙였다.
회사에 따라서는 직원에게 알리지 않고 이메일을 훑어보기 위해 일반 해킹에 사용되는 방법을 그대로 쓰기도 한다. 특정 이메일을 클릭하거나 인트라넷에 최초 로그인을 하면 스니퍼(sniffer) 등의 해킹 프로그램이 저절로 입력되는 방식이다.
기업의 직원 이메일 도청은 통신비밀보호법에 저촉된다. 과거의 이메일을 뒤져보는 행위도 정보통신망이용촉진 및 정보보호에 관한 법률을 위반한 것이 된다. 2002년 회사 내부사정을 외부에 유출한다고 의심되는 직원들의 이메일을 불법 열람한 한국디지털위성방송(KDB) 임원이 구속된 것도 이 때문이었다.
지난해에는 경기 지역 한 중학교의 교사 PC 감시 사건이 불거져나오기도 했다. 학교 측에서 ‘넷오피스쿨’이라는 컴퓨터 사용 감시프로그램을 설치하고 교사들에게 통보한 후 교장과 정보부장이 모든 컴퓨터 사용자의 작업 현황을 실시간 열람한 것. 최모 교사가 이 프로그램을 삭제하자 학교 측에서는 징계위원회를 열어 최교사를 ‘복종의무 및 성실의무 조항 위반’으로 파면했다. 이에 민주노총은 학교장 등을 정보인권침해 건으로 고발했고, 수원지원은 1심에서 피의자 5명 중 3명에게 실형을 선고했다. 최교사는 교육부 징계재심의위원회에선 파면 취소 판정을 받아 같은 해 11월 복직했다.
현행법상 자사 직원이라 해도 기업이 적절한 ‘동의’ 절차를 밟지 않고 이메일 송·수신이나 문서 유통을 감시하는 것은 불법이다. 이에 대해 기업 측은 “그렇다면 산업 스파이 대응 등 보안 문제는 어떻게 하느냐”며 법제도 보완을 강하게 요구하고 있다. 한 4대그룹 보안담당 팀장은 “막말로 회사에 있는 시간 중 회사가 제공한 PC로 자기 일을 보는 게 정당하냐, 사적 이메일은 왜 쓰고 뉴스나 증권 사이트에 접속은 왜 하느냐”며 “현행법에 문제가 많으며 회사의 직원 PC 감시는 당연하다”고 주장했다.
실제로 미국 법원은 ‘회사 이메일은 일반적으로 회사 재산이며 사생활 보호 대상이 아니’라는 기본 인식을 갖고 있다. 미국경영협회(AMA) 연구결과를 보면 2001년, 미국 대기업의 78%가 어떤 형태로든 전자적 감시에 관여한 것으로 조사됐다. 이중 인터넷 접속이나 메일을 모니터링하는 것이 각각 62.8%와 46.5%로 가장 많았고, 통화에 대한 정보기록 감시 43.3%, 직원 컴퓨터 파일 검토도 36.1%에 이르렀다.
그러나 유럽의 시각은 다르다. 나라마다 약간의 차이는 있지만 대체로 “사생활 존중은 타인과의 관계를 발전시킬 권리를 어느 정도 포함해야 한다. 대다수 사람들이 직장생활 과정에서 바깥 세상과의 관계를 발전시켜나갈 중요한 기회를 갖는다. 그런 만큼 ‘사생활’ 개념에서 업무 활동을 배제하자는 주장은 근거가 없다”는 주장이다. 이는 유럽인권재판소 판결에 따라 2002년 유럽의회가 ‘회사에서의 전자통신 감시에 대한 특별조사위원회 보고서’에 기술한 내용이기도 하다.
민주노총을 비롯한 노동계, 시민단체 등은 우리나라도 ‘기업이 들키지만 않으면 대충 넘어가는’ 수준이 아닌, 좀더 명확하고 정교한 법 제정이 필요하다고 주장한다. 합리적인 가이드라인 제시는 보안 문제로 늘 신경이 곤두서 있는 회사 측에도 도움이 된다는 것이다. ‘함께 하는 시민행동’ 김영홍 정보인권국장은 “아직은 회사 측이나 노동조합 측이나 프라이버시 침해 문제에 다소 둔감한 것이 사실”이라며 “목적 명확성의 원칙, 당사자 참여의 원칙 등 OECD(경제협력개발기구)가 정한 ‘프라이버시 가이드라인’에 맞는 국제 수준의 법 제정이 시급하다”고 강조했다.
