일반

업무용 메신저 감시 "득보다 실이 많은데...왜 해요?" [스토리팩-토스랩④]

이건한 기자

사람의 뇌는 단순한 정보보다 '이야기'를 더 좋아하고 오래 기억한다고 합니다. 디지털데일리 테크콘텐츠랩의 '스토리팩'은 혁신기업들의 주요 기술·인재·조직 키워드를 책 읽는 듯한 재미와 인사이트로 전달하는 기업별 연재 기획물입니다. <편집자주>

[디지털데일리 이건한 기자] 지난 5월, 유명 반려견훈련사 부부가 직원들의 '갑질 폭로'로 곤욕을 치를 때 직장인들 사이에서 특별히 논란이 된 내용은 '업무용 메신저 감시'였습니다. 당시 부부는 N사 업무용 협업툴의 관리자용 직원 메시지 모니터링 기능으로 직원들의 모든 업무 및 사적 대화를 엿본 사실을 인정했는데요. 그 분량이 무려 6개월치에 달했죠. 해당 사실이 알려진 직후 많은 직장인이 "그런 기능이 있는지조차 몰랐다"며 황당해 했는데요. 이 사안은 곧 '회사가 직원의 업무용 메신저를 엿보는 것이 적법한가'에 대한 사회적 논쟁으로 이어졌습니다.

우선 국내에서 널리 쓰이는 협업툴 회사들은 대부분 '큰 문제가 없다'는 입장이었습니다. 모두 관리자의 채팅 감시 기능을 조건부, 혹은 자유롭게 제공 중인 회사들이었는데요. '채팅 모니터링 기능은 기업 내 보안사고 발생 시 조사를 위해 꼭 필요한 기능'이란 취지였죠. 누군가는 이에 공감했고, 또 누군가는 그 효용에 공감하지 못했습니다.

이 문제에 아직 정답은 없습니다. 무엇보다 회사의 업무용 메신저 대화 감시가 적법한지는 아직 법조계에서도 이견이 분분하거든요. "업무용 메신저에서 왜 사적대화를 하냐"는 시각도 있지만 사람이 로봇도 아니고 애초에 동료 간 업무처리 과정에서 업무와 사적대화를 완벽히 분리하는 일은 불가능에 가까울지도 모르고요. 즉, 대화 내용에 대한 감시가 위법한가 여부만 놓고 생각하면 굉장히 소모적인 논쟁이 될 수밖에 없다는 이야기인데요. 그보단 원점으로 돌아가 '대화내용 감시 기능이 꼭 필요한가, 득과 실은 무엇인가'를 살피는 것이 보다 실리적일 것입니다.

최근 업무용 메신저 감시 기능 탑재에 대해 유일하게 반대 의견을 낸 기업이 있습니다. 메신저형 협업툴 '잔디(JANDI)'를 서비스하는 토스랩인데요. 잔디는 올해 5월 기준 누적 5000여개의 유료 고객사, 275만명의 실사용자를 보유해 국내 토종 협업툴 회사 중에서 가장 큰 서비스로 꼽힙니다. 또 2015년 서비스 개시 이래 지금까지 한번도 메신저 감시 기능을 탑재한 적이 없기도 하죠. 왜일까요? 크게 두 가지 측면이 있습니다.

합법적 메신저 열람? "말은 쉽지"

기본적으론 개인정보보호에 관한 잠재적 갈등을 막기 위한 이유가 있습니다. 법조계에 따르면 업무용 메신저를 사측이 열람하는 건 아직 100% 합법이 아닌데요. 최소한 근로계약 당시나 열람 전에 구성원 동의를 받고 거부권 유무 등을 설정하는 조치가 선행되어야 하죠. 또한 열람 동의가 있어도 '시설 안전 및 영업비밀 보호' 등 기업 이익 달성에 꼭 필요한 경우만 제한적으로 열람해야 합니다.

그런데 앞서 언급했듯 이때 대화 내용에서 사적 대화만 완전히 분리할 수 있을까요? 특히 최근에는 원격 및 비대면 근무를 지원하는 회사가 많고, 그들 대부분의 소통은 협업툴 안에서 이뤄지는데 말이죠. 이 안에서 철저히 업무지시만 오가는 메신저 환경을 구축하기란 현실적으로 쉽지 않을 것입니다.

따라서 어떤 경우든 채팅 내용에 대한 열람 기능이 실행될 경우, 노사는 반드시 충돌할 수밖에 없게 됩니다. 문제는 나아가 이 충돌이 상호 간 신뢰 저하로 이어지는 점이죠. 처음 논란이 된 반려견훈련사 부부의 회사 직원들도 이 점에서 큰 충격을 받았던 것으로 보입니다. 또한 소규모 조직으로 신뢰와 원팀 의식이 중요한 스타트업들 사이에선 더욱 부각될 문제이기도 하죠. 내가 사용하는 업무용 메신저에 감시 기능이 탑재됐다는 사실을 인지하는 것만으로도 구성원 간 편안한 소통은 줄고, 어떤 말이든 눈치를 보며 할 수밖에 없는 상황이 오히려 더 쉽게 만들어질 겁니다.

신뢰할 수 있는 협업툴은 사용자별 권한과 접근 범위가 명확하게 구분되어 있어야 한다 (ⓒ 토스랩)

감시 기능은 기업도 찾지 않는다

또 하나의 맹점은 실제로 감시 기능을 요구하는 회사들의 사례 자체가 적다는 점입니다. 관련해 토스랩 측에서 "지난 10년간 수많은 회사와 잔디 도입에 대한 의견을 나눴지만, 채팅 내역 열람 기능 유무를 묻거나 추가해달라고 요청한 사례는 손에 꼽을 정도로 적었다"면서 "요청하더라도 불필요한 이유를 설명하면 쉽게 수긍할 만큼 이 기능이 한번도 필수 기능이라 생각해본 적이 없다"고 말한 점을 주목해 볼만 합니다. 많은 협업툴 기업이 마치 감시 기능이 필수인 것처럼 입장을 취한 부분과는 정반대의 이야기거든요.

물론 각각의 입장이 다를 수 있습니다. 하지만 현실적으로 감시 기능이 협업툴 도입 회사들의 필수적 요구사항이라면 치열한 시장 경쟁 가운데 토스랩이 10년이나 관련 기능을 개발하지 않은 점은 이들의 주장을 뒷받침하죠. 단순히 도덕적 측면에서 기능을 넣지 않았다고 보기엔 회사의 존망이 걸린 부분이었다면? 충분히 경쟁 업체들과 비슷한 이유로 타협해볼 수 있는 문제이기도 했으니까요.

빈대 잡으려다 초가삼간 태우니까

그럼 보안적 측면에서 생각해볼까요? 이런 반론도 있습니다. "실제로 보안 사고가 발생했을 때는 어떻게 대응하나?" 이 점에 대해서도 토스랩은 "안전한 메시지 관리란 애초에 정보 접근과 유출을 어렵게 만드는 것이 중요하다"고 말합니다. 특히 파일을 허용된 특정 IP에서만 접근 가능하도록 하거나 외부에서의 유출을 방지하기 위해 모바일 환경에서는 파일 다운로드를 제한하는 설정 등으로도 충분히 보호가 가능하단 설명이죠.

무엇보다 관리자의 감시 기능 자체가 취약한 보안 허점이 될 가능성도 배제할 수 없습니다. 불의의 사고로 관리자 기능이 해킹 당할 경우 협업툴 내 저장된 정보뿐 아니라 직원들이 나누는 업무상 기밀까지 폭넓게 유출될 수 있으니까요. 기업의 상당수 보안사고가 관리자 계정의 탈취로부터 시작된다는 점을 고려하면, 오히려 직원 개인의 일탈보다 이쪽이 더 큰 잠재적 위협이 될 수 있습니다. 아예 관리자가 내부의 적으로써 기밀을 유출하기도 훨씬 쉽고요.

잔디에서 지원하는 다양한 보안관리 기능 중 하나 (ⓒ 토스랩)

감시기능 탑재는 직원들이 협업툴 외 SNS를 사용하게 만드는 역효과도 불러 일으킬 수 있습니다. 언제 어디서 어떤 메시지가 열람될지 모르는 상황에서 정상적인 반응은 협업툴 채팅을 최소화하는 겁니다. 대신 카카오톡, 텔레그램 등 개인용 메신저를 이용해 소통하는 직원들이 생겨날 텐데요. 이렇게 소통 채널이 이원화되면 협업툴 생산성 저해는 물론, 오히려 문제가 발생했을 때 사측에서 조사하기 어려운 외부 채널로 정보가 유출되는 최악의 사태로 이어질 가능성이 생겨납니다.

그런데 이런 사태를 막자고 만약 외부 SNS 사용을 차단한다면? 회사 입장에서는 더 많은 관리비용 지출과 더 많은 직원들의 반발을 잠재워야 합니다. 궁극적으로 이로 인한 인재 유출 및 영입의 어려움까지 겪게될 경우 정말 남는 것 없는 선택이 되겠죠. 속담에 빗대면 빈대 잡자고 초가삼간 다 태운다는 말이 현실이 될 수 있다는 이야기입니다.

협업툴의 본질 생각하면...'쉬운 문제'

이 밖에도 개인정보 처리에 대한 자기 주권의 강화 요구가 이상하지 않은 시대입니다. 이는 어떤 서비스든 개인이 생성한 정보에 대한 공유 수준은 스스로 결정할 수 있는 권리, 나아가 관리자에게 사찰받지 않을 고유 권리로도 이야기되는데요. 이 점에서 메신저 감시 기능의 탑재는 앞으로 시간이 흐를수록 보안사고보다 더 많은 노사갈등으로 이어질 가능성이 높아 보입니다.

결국 이런 이유들로 토스랩은 앞으로도 메신저 감시 기능은 탑재할 생각이 없다고 합니다. 더불어 협업툴의 본질을 잊지 말아야 한다고 강조했는데요. 특히 잔디와 같은 메시지 기반 협업툴은 효율적이고 신뢰할 수 있는 소통 환경 제공이 중요한 본질 요소로 꼽힙니다. 따라서 활발한 소통을 권장하고 개개인의 프라이버시를 강력하게 지켜줌으로써 조직의 신뢰 기반을 든든하게 해주는 것에 총력을 기울여야 한다는 것이 토스랩의 생각입니다.

이렇게 본질적인 측면으로 접근하면 답이 조금 더 명확해집니다. 보안 문제는 이를 예방하고 해결하기 위한 기업용 보안 솔루션이 존재하고, 실제 사고 발생 시에는 다양한 경로로 조사가 이뤄지는데 '소통과 협력'을 하라고 도입한 협업툴이 감시까지 하자고 본질적 가치를 퇴색시켜야 한다는 주장은 아무래도 신뢰를 얻기 어려워 보이네요.

ⓒ 토스랩

한편, 토스랩은 17페이지 분량의 '업무용 협업툴 도입 기업을 위한 사내 정보보호 및 보안 가이드'도 자체 제작해 배포 중입니다. 잔디 보안 관련 상세 FAQ 외에도 '협업툴 도입 시 보안 사항 체크리스트' 등을 상세히 소개하고 있으니 고민 중인 기업이라면 잔디 홈페이지 '리소스' 메뉴를 통해 다운받아 보는 것도 권해드립니다.

이건한 기자
sugyo@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널