"회사가 내 스마트폰 속속들이 들여다본다니…"
[진단] MDM 계획안으로 본 기업 보안과 정보 인권
2012.07.02 07:48:00
"회사가 내 스마트폰 속속들이 들여다본다니…"
지난 5월, LG전자 직원들에게 보안 강화에 관한 새로운 방침이 전달됐다. 정보보안팀에서 작성한 이 내용의 핵심은 직원들의 스마트폰에 강화된 보안 지침을 적용하겠다는 것이다. 'MDM(Mobile Device Management, 모바일 기기 관리) 구축 프로젝트'다.

최근 국내 제조업체에서 '기술 유출' 논란이 잇따르면서 기업마다 '보안'을 강조하고 있다. MDM 프로젝트는 그 일환이다. 그러나 이런 움직임이 가져올 위험을 지적하는 목소리는 아직 미미하다. 대표적인 게 직원의 사생활 보호 문제다. '기술 유출'이 주는 무게감에 비해 얼핏 사소해보이지만, 꼭 그렇지만은 않다. 수십 조원 대 가치를 지닌 기술이 외국으로 유출됐다는, 호들갑스런 보도 속에서 개인 정보 보호의 중요성을 얘기하기란 쉽지 않은 일이다. 자칫 '한가한 소리', '뜬구름 잡는 이야기'를 한다는 비난을 사기 쉽다.

하지만 자세히 뜯어보면, 다른 판단을 하게 된다. 기술 유출 피해를 다룬 보도는 해당 기업주의 이해관계, 수사기관의 공명심, 국익 지상주의에 영합하는 언론의 행태 등이 맞물리면서 심각한 과장이 이뤄지는 경우가 대부분이다. 관련 사건에 대한 무죄 판결 비율이 전체 사건 평균치의 63배에 달한다는 점에서 입증되는 사실이다. 이는 법원이 기술 유출에 유난히 관대하기 때문이라기보다 애당초 무리한 수사가 이뤄졌기 때문으로 보는 게 타당하다. (☞관련 기사 : "내가 기술유출범?"…누명 쓰는 개발자들)

반면, '국익'을 내세우는 논리 앞에서 사생활 보호를 포기하는 일이 축적되면, 장기적으로 돌이키기 힘든 결과를 낳을 수 있다. '빅 브라더'가 통제하는 사회가 소설 속 이야기로 그치지 않을 수 있다는 말이다. 기업들이 잇따라 진행하는 MDM 프로젝트를 계기로 기업 내 정보인권 문제를 짚어봤다.

한번 설치한 보안 시스템, 허가 없이 삭제할 수 없어

▲ ⓒLG전자
<프레시안>이 확인한 계획안에 따르면, LG전자 MDM 프로젝트의 대상은 이 회사 임직원 및 상주 협력업체 직원의 스마트 기기다. 이들의 스마트폰에 MDM 관련 애플리케이션을 설치하게 한다는 것이다. 이 애플리케이션을 설치하고 게이트를 통과해 회사로 들어오면, 새로운 보안 정책이 적용돼 해당 스마트폰의 일부 기능을 사용할 수 없게 된다.

구체적으로 살펴보면 카메라, 블루투스 헤드셋을 제외한 블루투스(휴대폰, 노트북 등의 기기를 연결해 정보를 교환하는 근거리 무선 기술 표준), 테더링(휴대폰을 모뎀으로 활용하는 기능), 음성녹음 기능을 사용할 수 없게 된다. 또한 임직원이 사용하는 업무용 애플리케이션의 화면은 회사 안은 물론 바깥에서도 캡처할 수 없다.

위치 추적 기능도 있다. MDM 애플리케이션을 설치한 스마트폰을 분실할 경우, 정보 유출을 막기 위해 분실 기기를 화면 잠금 상태로 바꾸고 위치 추적을 할 수 있다는 말이다. 계획안에는 '위치 추적은 사용자 동의가 있을 때만 가능하다'는 내용도 담겨 있다.

루팅(관리자 권한을 획득하는 것), 기기 관리자 해지, USB 디버깅 모드를 실행할 경우 기기가 잠금 상태로 변경돼 사용할 수 없게 된다. 보안 시스템이 임의로 삭제되는 것을 막기 위한 조치로 기기 관리자 권한 제거, 루팅, 디버깅 모드 활성화는 회사 안에서도, 바깥에서도 허용되지 않는다. 다만 이런 조치가 업무상 필요할 경우 '예외' 신청을 해야 한다.

계획안에는 '회사 바깥으로 나갈 때 반드시 게이트의 ID카드 리더에 체크아웃을 해야 한다'는 내용도 담겨 있다. 그렇게 하지 않으면, 회사 바깥에서도 사내 보안 정책이 그대로 적용돼 카메라 등의 기능을 사용할 수 없기 때문이다. 또한 회사 바깥이라 하더라도 사내 와이파이가 감지되는 인근 지역에서는 보안 정책이 그대로 적용될 수 있다고 돼 있다.

MDM 프로젝트가 LG전자 및 상주 협력업체 직원의 모든 휴대폰에 적용되는 것은 아니다. 계획안에 따르면 피처폰, '기타 OS(운영 체제)'를 탑재한 스마트폰처럼 MDM 설치가 불가능한 경우 '설치 예외'를 신청하도록 돼 있다. '기타 OS(운영 체제)'를 탑재한 스마트폰은 소스 코드가 공개된 안드로이드폰 이외의 스마트폰을 가리킨다.

회사가 직원 스마트폰 들여다본다는 불안감…"피처폰으로 돌아가야 하나?"

이러한 내용이 공지된 후, 일부 직원들이 불만을 토로하고 있다. 회사가 보안에 신경을 쓰는 건 이해하지만 과도한 조치 아니냐는 것이다. 노트북처럼 회사에서 지급한 물품이라면 몰라도, 직원 개개인이 자기 돈으로 산 스마트폰에 대해 그런 조치를 취하는 것이 적절한 것인가 하는 의문이다. "피처폰으로 돌아가거나 아이폰으로 바꿔야 하나?", "차라리 회사에서 원하는 방향으로 보안을 강화한 프로그램을 다 설치한 스마트폰을 지급하라"는 목소리도 나오고 있다.

개인정보 침해 우려도 제기되고 있다. 이름을 밝히길 꺼린 한 직원은 "새로운 보안 정책이 적용되는 지역 안에서는 회사가 사실상 스마트폰 관리자 역할을 맡는 셈인데, 카메라 등의 기능을 막는 것에 그치지 않고 내 스마트폰을 속속들이 들여다볼 수도 있지 않을까 하는 우려가 드는 게 사실"이라고 말했다.

이에 대해 LG전자 측은 "스마트 기기가 확산되는 상황에서 정보 유출 위험을 차단하기 위한 조치"이며 "포스코, SK, 삼성전자 등도 유사 시스템을 쓰고 있다"고 밝혔다. 또한 "일부 직원을 대상으로 시범 운영 중"일 뿐이며, 전 직원을 대상으로 확대 실시할 것인지는 "시범 운영 결과가 나와야 알 수 있다"고 답했다. '직원들이 개별적으로 마련한 스마트폰에 대해 과도한 조치라는 의견도 있다'는 물음에는 "(전 직원 대상 시행 여부가) 결정되지 않았기 때문에 답변할 수 없다"고 밝혔다.

보안만 강조하다 인권 질식시켜선 곤란

기업들은 산업 정보 유출에 민감하다. 얼마 전 수사 결과가 발표된 삼성과 LG의 텔레비전 아몰레드(AMOLED) 기술 유출 사건에서도 드러나듯이, 기술 유출 방지는 기업들로선 중시할 수밖에 없는 현안이다. LG전자를 비롯한 기업들이 MDM 시스템을 구축했거나 구축하고 있는 주요한 이유다. MDM 시장 규모가 커지고 있는 것도 이러한 사정과 관련 있다.

하지만 MDM이 과도한 통제로 이어진다는 비판도 무시할 수 없다. 이른바 '스마트워크'가 확산되는 이면에는, 지나친 통제로 인해 스마트 기기를 사용하기가 불안하다는 정서가 있다.

실제로 MDM이 직원들의 사생활을 침해할 가능성은 부인하기 어렵다. 예컨대 상당수 MDM에 포함되는 위치 추적 기능이 대표적이다. 스마트폰 사용 내역을 모니터하는 기능도 마찬가지다. 이들 기능은 노동자 감시 우려로 이어진다. 이런 상황에서 LG전자처럼 회사가 지급한 것이 아닌 개인 단말기에까지 MDM을 설치할 경우, 적절성에 대한 의문은 더 커질 수밖에 없다.

보안 문제와 관련해 한 가지 더 짚을 점은 일부 기업이나 감청 권한 강화를 노리는 국가정보원 등 정보기관이 기술 유출 피해액을 부풀리는 일이 있다는 지적이다. 보안 문제를 가벼이 봐서는 안 되지만, 기술 유출 피해 문제를 냉정하게 들여다볼 필요가 있다는 말이다.(☞관련 기사 : "내가 기술유출범?"…누명 쓰는 개발자들, 국정원은 '무제한 감청'의 길 열려 한다)

하지만 아직까지 한국에선 노동자의 정보 인권이 기업 보안보다 훨씬 가볍게 여겨지는 게 사실이다. 이에 대해 장여경 진보네트워크 활동가는 지난달 28일 <프레시안>과의 통화에서 "인권이 회사 문 앞에서 멈추는 것은 아니"라고 말했다. 인권 문제에는 예외가 없다는 지적이다.

이 기사의 구독료를 내고 싶습니다
일부 인터넷 환경에서는 결제가 원활히 진행되지 않을 수 있습니다.
국민은행 343601-04-082252 [예금주 프레시안협동조합(후원금)]으로 계좌이체도 가능합니다.
pedagogy@pressian.com 다른 글 보기