사이버 보안: 회사 메신저로 절대 상사 욕 하면 안 되는 이유

일을 하다보면, 가끔은 업무나 동료에 대해 분통이 터질 때가 있다. 그런데 이러한 불만을 회사에서 제공한 컴퓨터 등으로 주고받는 건, 정말 안전할까?

회사에서 기분이 좋지 않은 하루를 보낸 어느 날. 회사 메신저를 통해 동료들에게 불평을 늘어놓았다가 상사가 이를 알아챌까봐 걱정해 본 적이 있는가? 전문가들은 여러분의 걱정이 당연히 타당했다고 말한다. 업무용 기기로 한 커뮤니케이션은 생각만큼 비밀이 보장되지 않는다.

지난 7월 넷플릭스는 동료에 대한 비난 메시지를 메신저앱 슬랙의 단체 채널(대화방)이 아닌 개인 채널에 올렸다는 이유로 마케팅 임원 3명을 해고했다.

테드 사란도스 넷플릭스 공동 CEO는 링크드인 게시물을 통해 그 내용이 단순한 동료 험담이 아니라, 해당 동료가 발표를 하는 도중에도 험담을 나누는 등 "몇 달 동안 지속적으로 동료들에 대한 개인적인 비판을 올렸다"고 설명했다.

그는 "'(회사는) 평소에 슬랙이나 이메일 모니터링하지 않는다"는 것을 강조하며 "(반면 이 채널은) 직원들이 사적인 것이라 생각했지만, 채널이 열려있기에 누구나 들어갈 수 있었다"고 덧붙였다.

직장인들은 종종 회사 내에서의 소통과 관련해 비밀이 보장된다는 환상에 사로잡히곤 한다. 회사 컴퓨터로 사적인 채팅이나 이메일, 화상회의를 하더라도 사측에서 이를 보지 않을 것이라는 잘못된 믿음을 갖는 것.

하지만 버튼을 한 번 누르는 것 만으로도 사적이라 생각되던 것이 공적인 것으로 변할 수 있다. 현실은 사측이 직원의 직장 내 온라인 커뮤니케이션을 추적할 수 있는 기술이 존재한다는 것이다. 다만 이를 활용하는 수준에 대해 회사가 밝히지 않을 뿐이다.

그렇다면 회사 측에서 모니터링을 해야 하는 선은 어디까지일까? 직원들은 메시지를 보내기 전에 무엇을 염두에 둬야 할까?

비밀은 없다고 생각하라

히더 에간 서스만은 보스톤 소재 법률 회사 '오릭'에서 정보보안 부문 책임자를 맡고 있다. 그는 "장비의 소유와 상관 없이 회사가 사용하는 프로그램을 이용해 서면 소통이나 웹 사이트 방문 등의 활동을 하면 이 모든 기록이 추적될 수 있다고 생각해야 한다"고 말했다.

물론 기업이 내부 커뮤니케이션을 추적할 만한 정당한 이유도 있다. 서스만은 금융 서비스 부문 등에선 기업들이 규칙 준수 프로그램 차원에서 강도 높게 규제하면서 내부 커뮤니케이션을 감시해야 한다고 말했다. 의료 기록이나 정부 계약 등 민감한 자료를 다루는 모든 이들이 회사의 사업과 평판 및 자원을 보호하기 위해 적극적으로 모니터링 대상이 될 수 있다는 것이다.

하지만 이러한 분야 외 대부분의 기업들에선 사후 대응 방식을 취한다. 일정 기간 데이터를 보관하는 기록 보존 프로그램 등을 통해 커뮤니케이션을 저장했다가, 문제가 생겼을 때만 해당 정보를 살펴보는 식이다. 그 대상에는 메신저와 이메일뿐만 아니라 녹화와 기록이 가능한 스카이프, 줌 또는 마이크로소프트 팀즈 화상 통화도 포함된다.

슬랙, 구글 워크플레이스 및 팀즈를 비롯한 많은 업무용 프로그램은 특별 요금제를 사용했을 때, 고객사가 메시지를 저장 및 검색할 수 있는 기능을 제공한다. 즉 회사 업무용 메신저에 2~3인의 개인 채팅방을 만들더라도, 사측에서 이를 확인할 수 있는 것이다. (보통은 여기에 접근하기 위해서는 IT 또는 HR을 거쳐야 한다.)

슬랙 등에서는 회사가 편집 내역을 검토하고 삭제된 메시지에 접근도 할 수 있다. 모든 이메일의 자동 복사본을 만들거나, 받은 편지함에 있는 메일의 복사본을 만드는 이메일 시스템도 있다. 따라서 자신이 삭제한 메시지가 영원히 사라졌다고 볼 수는 없다.

워싱턴 DC 소재 글로벌 리서치 및 자문 회사 가트너의 인사 담당 최고 책임자인 브라이언 크롭은 기업들이 업무용 프로그램을 활용한 커뮤니케이션을 살펴볼 때는 성과 관리 문제와 데이터 유출, 괴롭힘 또는 기타 불만이 제기돼 내부 조사가 필요한 때라고 말한다.

개인을 겨냥하지 않는 일반적인 불평은 이에 해당하지 않는다. 마찬가지로 관리자라 할지라도 일반적으로 자신의 이름과 같은 키워드 검색을 자유롭게 수행할 수는 없다.

크롭은 "살펴보고 분석할 만한 정보는 매우 많이 쌓인다"고 말했다. "하지만 직원들의 이메일 정보를 살펴봤다가 그 사실을 직원들이 알게 된다면 회사는 엄청난 이미지 훼손을 입을 것입니다. 아주 드물지만 그런 일이 있긴 하죠."

직원들은 거의 알지 못한다

기업들이 직원들의 직장 내 커뮤니케이션을 면밀히 살펴보는 것을 막기 위한 최소한의 제약은 있다. 크롭에 따르면 미국과 유럽은 법을 통해 단체교섭과 같은 사항에 대한 커뮤니케이션을 보호하고 있다. 하지만 전 세계 어느 곳에도 사측이 개인에 대해 수집한 자료를 알려야 한다는 법 조항은 없다는 게 그의 설명이다.

어떤 기업들은 근로자들에게 '직장 내 커뮤니케이션에서 사생활 보장을 기대하지 마라'는 가이드를 제시하기도 한다. 그렇다고 해도 그들이 모니터링되는 수준을 세세하게 알기는 어렵다. 유럽연합 연구소의 에이다 폰세 델 카스티요 브뤼셀 주재 선임연구원은 "근로 계약에 서명할 때 사측에선 '당신을 감시합니다'라고 말하지 않는다"며 "직원들은 이에 대한 세세한 내용을 거의 알지 못한다"고 말했다.

그렇다면 어떻게 해야 할까? 카스티요는 업무용 컴퓨터로 하는 커뮤니케이션 대부분은 기록될 수 있다고 가정할 때, 사적인 대화를 할 수 있는 가장 안전한 방법은 "회사와 상관 없는 개인 휴대전화를 이용하거나 직접 만나서 하는 것"이라고 말했다. 회사 소유 장비로 로그인한 개인 이메일이나 소셜 미디어 계정도 모니터링이 가능하다는 뜻이다.

직장에서는 자신이 모니터링될 수 있다고 가정하고, 이에 맞춰 행동하는 게 최선일 수 있다. 만약 동료나 업무 상황에 대해 불만을 표현하고 싶다면, 그 불만이 건설적이고 회사 전반에 도움이 되는지 생각해 보라. 그렇다고 하더라고, 업무용 장비가 아니라 자신을 곤경에 빠뜨리지 않는 방식을 사용해야 한다. 내용이 건설적이지 않다면 퇴근 후에 카페나 술집, 개인 휴대 전화를 활용해 이야기하는 것이 최선이다.

하지만 전문가들은 기업들이 단순히 투덜이를 찾아내려고 커뮤니케이션 자료를 살펴보는 경우는 거의 없다고 말한다. 거의 대부분은 특정인에 대한 괴롭힘, 차별, 회사를 위험에 빠뜨릴 수 있는 문제가 발생했을 때 관련 자료를 찾기 위해서 살펴본다. 만약 회사가 어떤 자료에 접근할 수 있는지, 그 자료가 얼마나 오랫동안 보존되는지, 어떤 상황에서 활용되는지 등이 궁금하다면 회사에 직접 문의해 볼 수 있다.