2. 컴퓨터 및 인터넷 이용 모니터링

1) 개요

요즘에는 어느 산업 분야든 컴퓨터와 인터넷을 사용하지 않는 것을 상상하기 힘들다. 따라서 노동자의 업무에 대한 관찰, 평가, 감시는 노동자의 컴퓨터 및 인터넷 이용에 대한 모니터링을 포함할 수밖에 없다. 과거 오프라인 작업 공간에서 사용자가 노동자를 감시하려면 많은 비용이 들었고 은밀하게 할 수 없었기 때문에 사용자의 감시활동은 제한적일 수밖에 없었다. 그러나 감시 프로그램을 통한 컴퓨터와 인터넷 이용에 대한 자동화된 감시는 아주 적은 비용으로 손쉽게, 대상 노동자가 알지 못하는 사이에 원격에서도 은밀히 이루어질 수 있다.

게다가 감시는 상상을 초월할 정도로 정밀하게 이루어질 수 있다. 컴퓨터와 인터넷 이용을 모니터링하는 통상의 감시 프로그램들은 다음과 같은 기능을 포함하고 있다.

• 컴퓨터를 통해 이루어지는 채팅이나 대화의 캡쳐
• 이메일, 웹브라우징 등 인터넷 사용 모니터링, 특정한 트래픽 저장
• 모든 키보드 입력의 기록(키로깅)
• 방문한 웹사이트의 추적 및 특정 사이트 차단
• 원격으로 컴퓨터 스크린샷 보기, 기록
• USB 등 외부 저장 매체에의 저장 탐지 및 차단
• 직원들의 생산성 수준 평가
• 직원들의 세부 활동 기록 및 광범위한 보고서 작성

최근에는 노동자의 컴퓨터를 감시할 수 있는 프로그램을 통틀어 보스웨어bossware라는 명칭으로 부르기도 한다. 2019년 말부터 전 세계적으로 확산된 코로나19로 인해 재택 근무가 많아지면서 보스웨어 시장도 확대되고 있다. 게다가 기존에 보스웨어가 회사에서 제공하는 PC에만 설치되어 있었다면, 재택 근무에 따라 기업들은 개인의 PC에도 보스웨어를 설치할 것을 요구하고 있다. 보스웨어를 통해 재택 근무 중인 직원들의 모니터를 정기적으로 캡쳐하거나 키보드로 무엇을 타이핑하는지 들여다보는 식으로 노동자를 감시할 수 있다. 이러한 보스웨어의 감시에 대응하기 위해 ‘안티 보스웨어’가 등장하기도 했는데, 일정 시간 자리를 비운 것을 감추기 위해 키보드나 마우스 움직임을 자동으로 보내는 소프트웨어를 의미한다.

기업들이 컴퓨터나 인터넷을 모니터링하는 시스템을 도입하는 명분은 정보보안, 영업비밀 유출 방지, 근태 및 업무성과 관리 등 다양할 수 있다. 그러나 직원의 컴퓨터 및 인터넷 이용에 대한 모니터링은 과도한 사생활 침해와 노동통제를 야기할 수 있다. 이메일이나 SNS를 통해 사적인 내용이 전달될 수도 있으며, 어떠한 사이트에 접속하는지, 인터넷에서 어떠한 콘텐츠를 열람하는지 역시 개인의 민감한 취향이나 성향을 드러낼 수 있다. 또한 자신이 항상 모니터링되고 있다는 인식은 노동자를 위축시키고 정신적인 압박을 야기할 수 있다. 모니터링 시스템의 도입 목적이 정당하다고 할지라도 목적 달성에 필요한 범위에서, 프라이버시권 침해를 최소화하는 방식으로 도입될 필요가 있다.

한편 이러한 모바일 환경이 보편화되면서 모바일 앱을 통해 모바일 기기 및 인터넷 활용에 대한 모니터링이 이루어질 수 있다. 이에 대해서는 이 장의 5절에서 다룬다.

2) 동의 없이 전송 중인 통신 내용 접근은 불법 감청

당사자 동의 없이 전송 중에 있는 이메일, 메신저 등 인터넷 통신 내용을 들여다보는 것은 불법이다. 통신비밀보호법 제3조는 누구든지 적법한 근거 없이 전기통신을 감청하거나 타인 간의 비공개 대화를 녹음 또는 청취하는 것을 금지하고 있다. 여기서 감청이란 “당사자의 동의 없이” 통신의 내용을 지득하거나 전기통신을 방해하는 것을 의미한다. 따라서 사용자가 인터넷 모니터링 프로그램을 통해 노동자의 이메일이나 메신저 내용을 동의 없이 취득하는 것은 통신비밀보호법 위반에 해당한다. 사용자가 노동자의 통신 내용을 엿볼 수 있는 프로그램을 노동자의 동의 없이 설치할 경우, 이에 대해 고발할 수 있다.

그러나 컴퓨터와 인터넷 모니터링이 모두 통신비밀보호법 위반인 것은 아니다. 우선 감청은 “당사자의 동의 없이” 통신 내용을 지득하는 것을 의미한다. 따라서 사용자가 사전에 인터넷 모니터링에 대해 노동자의 동의를 받았다면, 통신비밀보호법 위반은 아닐 수 있다.

또한 통신비밀보호법은 “전송 중에 있는” 통신 내용에 적용된다. 따라서 이미 전송이 완료되어 서버나 PC에 저장되어 있는 이메일이나 메신저 대화 내용 등에 접근하는 경우에는 통신비밀보호법이 적용되지 않는다. 즉 같은 이메일이라고 할지라도 전송 과정 중에 가로챌 경우에는 통신비밀보호법이 적용되지만, 이미 수신 완료된 이메일에 접근할 때에는 통신비밀보호법이 적용되지 않는다. 하지만 정당한 권한이 없이 타인의 이메일을 해킹하여 열람하는 것은 정보통신망법 위반이 될 수 있다.

정보통신망법
제49조(비밀 등의 보호) 누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 된다.

또한 적법한 근거 없이 다른 사람의 개인정보를 수집하거나 제3자에게 제공하는 것은 개인정보보호법 위반이 될 수 있다. 이는 사용자가 노동자의 이메일 계정에 정당한 권한 없이 접근하거나 노동자의 개인정보를 수집할 경우에도 마찬가지로 적용된다. 다만 회사가 정보보안이나 영업비밀 유출방지 등 정당한 목적으로 설치한 프로그램을 통해 노동자의 이메일이나 개인정보에 접근하는 경우, 이를 정당한 권한 혹은 적법한 근거가 있는 것으로 볼 수 있을지 논란이 될 수 있다. 이에 대해서는 아래에서 다시 살펴본다.

3) 모니터링과 개인정보보호법의 적용

모니터링을 통해 수집되는 이메일이나 접속 내역 등도 특정 노동자와 연결되어 있을 경우 개인정보에 해당한다. 사용자가 인터넷 모니터링 프로그램을 통해 노동자의 개인정보를 수집할 경우에도 개인정보보호법이 적용된다. 아래 사례는 사용자가 고지나 동의 없이 개인정보를 수집, 열람한 것은 노동자의 개인정보자기결정권을 침해하는 것임을 확인하고 손해배상을 인정한 사건이다.

〔사례〕 MBC 트로이컷 프로그램을 이용한 노동조합 사찰 사건
2012년 MBC는 노조 파업 중 김재철 전 MBC 사장의 법인카드 사용내역서 유출 사건이 발생하자 ‘IT보안강화 방안’을 명분으로 트로이컷TrojanCut 프로그램을 직원들이 사용하는 컴퓨터에 설치하도록 하였다. 이 프로그램은 기본적으로 ‘사용자 입력행위 `기반 기술’을 근거로 하여 컴퓨터에서 사용자가 직접 조작하여 정보나 파일 등을 외부(자료의 외부전송 또는 이동 저장장치에의 저장)로 내보는 것은 허용하고 사용자의 조작 없이 해커가 전산망에 침입하여 정보나 파일을 빼내려 하는 경우 이를 막는 역할을 하는 ‘해킹 방지 솔루션’ 프로그램이다. 추가로 ‘DLP(Data Loss Prevention), 내부자료의 유출방지’ 기능, 즉 컴퓨터 사용자가 웹메일 또는 메신저 등을 통하여 메일이나 자료를 주고받거나, 이동저장장치USB 등에 자료를 저장하는 경우 그 웹메일과 메신저의 대화 내용 및 첨부 파일, 그리고 이동저장장치에 저장된 파일 등이 중앙관제 서버에 저장되도록 하는 이른바 ‘로깅’logging 기능도 포함되어 있었다. MBC 구성원들이 사내에서 또는 가정에서 컴퓨터를 이용하여 ‘MBC 포털’(MBC 인트라넷)에 접속하는 순간 컴퓨터에 자동으로 설치되었다. 그러나 일반적인 탐색기 설정으로는 프로그램의 설치 폴더를 확인할 수 없고, ‘숨겨진 프로세스’로 작동하여 작업관리창에서 위 프로그램이 실행되는지를 확인할 수 없었다.
– [김하나, 「사업장 전자감시 사례 및 입법의 필요성」, 사업장 전자감시의 문제점과 제도 개선 방안 토론회(2021.9.15) 자료집, 57~58쪽]

MBC는 프로그램 설치 과정에서 프로그램의 도입 및 설치 경위, 자료나 파일의 사내 서버 저장 등 위 프로그램의 각종 특성, 설치방법 등에 관한 내용을 소속 직원들에게 사전에 알리지 아니하였고, 직원으로부터 정보보호 서약서나 동의서를 받지도 않았다. MBC 간부는 이 프로그램을 이용하여 전·현직 노동조합 집행부의 파일을 열람하였으며, 이에 노동조합과 일부 조합원은 회사와 행위자를 상대로 조합원의 쟁의행위와 일상적인 조합 활동을 침해하였고, 피해를 입은 조합원들이 경험한 정신적 고통에 대한 손해배상 청구하였다.

이 사건의 항소심 법원은 트로이컷 관제 서버에 저장되어 정보가 열람된 사실을 인정할 수 있는 원고들에 대해서는 “트로이컷 관제 서버에 저장된 정보들은 개인정보자기결정권의 보호 대상이 되는 개인정보에 해당하므로, 이를 관제 서버에 일괄하여 저장함으로써 수집·보관한 행위 및 나아가 이를 열람까지 한 행위는 정보주체에 해당하는 원고 6인의 개인정보자기결정권을 침해하는 것”이라고 판단하고 각 50만 원의 손해배상을 인정하였다. 나아가 이러한 행위는 노동조합의 집단적 단결권 및 단체행동권을 침해하는 것으로 보아 원고 노동조합과 소속 본부에 각 1500만 원의 손해배상을 인정하였다. 다만 법원은 원고들의 개인정보나 자료들이 트로이컷 관제 서버에 저장 또는 열람되었다는 사실을 인정할 만한 증거가 없는 나머지 원고 4인에 대한 청구는 기각하였다. 대법원은 피고들의 상고를 기각하였다.

개인정보보호위원회는 “회사가 업무효율성 및 영업비밀 보호 등을 이유로 직원의 업무처리 내역 및 인터넷 접속 내역 등을 모니터링하는 시스템을 설치하는 것은 정보주체의 권리보다 명백히 우선한다고 보기 어려우므로, 노사 협의에 따라 처리하거나 직원에 대한 고지 또는 동의 절차를 거치는 것이 바람직하다”고 해석하고 있다.[개인정보보호위원회, 「개인정보보호 법령 및 지침·고시 해설서」, 2020.12., 92쪽] 다만 고지 또는 동의 절차를 거치는 것만으로 모든 모니터링 시스템이 정당하다는 의미는 아니다.

4) 컴퓨터 및 인터넷 모니터링에 대한 노동자의 대응 방안

① 현대 사회에서 어떤 직종에서 일하든 컴퓨터 및 인터넷의 사용은 필수에 가깝다. 컴퓨터와 인터넷의 사용이라고 표현했지만, 이를 통해서 수행하는 작업은 무수히 다양하다. 워드나 엑셀과 같은 특정한 애플리케이션을 실행하고, 뉴스를 보거나 자료를 검색하는 등 다양한 목적으로 인터넷을 탐색하며, 이메일과 메신저를 통해 업무적이거나 혹은 사적인 소통을 하게 된다. 이를 모니터링하는 것은 개인의 하루 일상을 투명하게 들여다보는 빅브라더나 다름없다. 이에 따른 노동자 프라이버시 침해는 매우 심각하며, 컴퓨터와 인터넷 사용에 대한 전면적인 모니터링은 어떠한 명분으로도 정당화되기 힘들다.

② 비밀리에 컴퓨터 및 인터넷을 모니터링하는 것은 불법이다. 고지나 동의 없이 비밀리에 개인정보를 수집하는 것은 개인정보보호법 위반이며, 비밀리에 전송 중인 이메일이나 SNS 대화 내용을 모니터링하는 것은 통신비밀보호법 위반도 될 수 있다.

③ 상업적으로 판매되고 있는 모니터링 프로그램들은 다양한 기능들을 제공하고 있다. 각 기능마다 수행하고자 하는 목적과 노동자에게 미치는 영향이 다르다. 따라서 사업장에 설치되는 프로그램이 구체적으로 어떠한 기능을 포함하고 있는지, 사용자가 활용하고자 하는 기능은 무엇인지, 해당 프로그램을 통해 어떠한 개인정보가 수집되고, 어떻게 처리되며, 얼마나 오래동안 보관되는지 등을 알 필요가 있다. 사용자에게 이에 대한 상세한 정보를 투명하게 공개하도록 요구해야 한다. 이해하기 어려운 전문적인 내용의 경우 가능한 쉽게 설명할 것을 요구할 수 있다.

④ 모니터링의 특정 기능은 지나치게 프라이버시 침해적이다. 키보드 입력을 기록하는 것이나 노동자가 일하는 모습을 정기적으로 촬영하여 서버에 전송하는 기능 등은 정당화하기 어렵다. 노동자와 노동조합은 모니터링 프로그램에서 제공하는 여러 기능들이 설치 목적 달성과 관련된 합리적인 범위 내에 있는지, 노동자의 권리를 과도하게 침해하지 않는지 따져 보아야 한다. 설사 특정 기능이 설치 목적과 관련되어 있을지라도 노동자의 권리를 과도하게 침해한다면, 덜 침해적인 대체적인 수단이 없는지, 혹은 권리 침해를 최소화하는 방향으로 제한적으로 적용할 수 없는지 검토할 필요가 있다. 예를 들어 영업비밀 유출 방지라는 목적이 정당하다고 할지라도 이메일을 관리자가 언제든지 열람하도록 하는 것은 노동자의 권리를 과도하게 침해할 수 있다.

⑤ 수집되는 개인정보가 합리적인 범위 내인지, 정보주체의 권리를 과도하게 침해하지 않는지는 구체적인 맥락에 따라 다를 수 있다. 예를 들어 모니터링 프로그램의 목적이 근무시간 내에 업무와 관계없는 사이트에 접속하는 것을 방지하는 것이라면, 굳이 노동자의 인터넷 접속 기록 일체를 수집할 필요는 없으며 특정 사이트에의 접속을 차단하는 것으로 충분할 것이다. 물론 여기서 특정 사이트에 대한 차단이 정당한가는 별개의 문제이며, 사전에 노동자 대표 혹은 노동조합과의 협의를 통해 차단 목록이 합의될 필요가 있다.

⑥ 이메일이나 SNS 모니터링의 경우 회사에서 부여한 업무용 계정인지, 혹은 개인 계정인지에 따라 권리 침해의 정도가 다르다. 개인 계정을 통해서는 업무 목적의 통신뿐만 아니라 사적인 소통도 많이 이루어질 것이므로, 모니터링 프로그램을 통해서 개인 계정을 모니터링하는 것은 정당화되기 힘들다. 회사에서 부여한 업무용 계정일 경우에도 이를 통해 사적인 소통이 이루어질 수 있으므로 항상적인 모니터링을 허용해서는 안 된다. 그보다는 의심스러운 트래픽이 발생했을 경우에만 특정 조치를 취하도록 요구할 수 있다. 예를 들어 업무용 계정일지라도 시스템 관리자나 사용자가 언제든지 개인 계정에 접근해서 열람할 수 있도록 허용되는 것이 아니라, 보안 위협이 발생했을 경우 조치에 필요한 최소한의 한도 내에서 시스템 관리자 등 정당한 권한을 가진 담당자만 접근하도록 한다든가, 기밀 유출의 의심이 있을 경우 해당 이메일 발송자에게 우선 이에 대한 고지를 하고 동의하에 열람하는 방안 등이 있을 수 있다.

⑦ BYOD(Bring Your Own Device)는 노동자가 노트북이나 스마트폰 등 자신의 기기를 직접 회사에 가지고 와서 업무에 활용하는 것을 말한다. 코로나19 이전부터 이러한 경향이 있었는데, 특히 재택근무가 확대되면서 강화되고 있다. 그런데 BYOD는 사적인 영역과 업무 영역의 구분을 더욱 모호하게 만들 수 있다. 따라서 컴퓨터 및 네트워크 모니터링으로 인한 프라이버시 침해를 최소화하기 위해서는 회사에 업무용 기기를 제공할 것을 요구해야 한다. 만일 자신의 기기를 사용해야 한다면 모니터링 프로그램이 사적인 통신을 침해하지 않도록 요구해야 한다.

⑧ 재택근무하는 노동자를 모니터링하기 위한 프로그램 설치도 정당한 목적 달성을 위해 필요한 최소한의 경우로 제한되어야 하겠지만, 특히 노동자가 개인 PC를 사용할 경우에는 모니터링 프로그램의 설치를 더욱 제한할 필요가 있다. 개인 PC는 가정에서 사적인 목적으로도 활용될 수 있으므로, 모니터링 프로그램을 통해 과도하게 사생활이 노출될 위험이 있기 때문이다. 따라서 사용자가 별도의 업무용 PC를 지급하던가, 개인 PC에 설치하더라도 제한된 영역에서만 작동하도록 하는 등 사생활 침해를 최소화할 수 있는 방안을 모색해야 한다. 또한 만일 모니터링 프로그램을 통해 사적인 통신이 기록되었음을 확인할 경우 이를 즉시 삭제하고 이러한 문제가 재발하지 않도록 대책 마련을 요구해야 한다.

⑨ 회사 내에서 인터넷을 사용할 경우, 자신도 모르게 인터넷 활용이 모니터링될 위험성을 배제하기 힘들다. 이러한 위험을 방지하기 위해서 노동자 개인 수준에서 취할 수 있는 조치는 이메일이든 웹 브라우징이든 전송되는 모든 트래픽을 암호화하는 것이다. 즉 종단간 암호화 기능을 제공하는 애플리케이션을 사용하도록 한다. 보통 통신 내용은 여러 지점을 거치게 되는데(예를 들어 철수 → 철수의 메일 서버 → 통신사 → 영희의 메일 서버 → 영희), 발신자인 철수부터 수신자인 영희까지 통신 내용을 암호화하는 것을 종단간 암호화라고 한다. 통신 보안과 관련한 자세한 내용은 진보네트워크센터가 제작한 「디지털 보안 가이드」를 참고할 수 있다.