2012.06.01

BYOD, 프라이버시 규정이 필요한 시점

Tom Kaneshige | CIO
일부 직원들은 회사를 그만두거나 경쟁업체로 옮겨가기 며칠 전에, 기업 컴퓨터의 기밀 데이터를 휴대용 USB 드라이브에 몰래 다운로드 받을 수 있다고 생각한다.

그러나 대부분은 그럴 수 없다. 관리자들은 USB 포트 레지스트리(USB Port Registry) 등 포렌직 컴퓨터 분석을 통해 퇴직 인터뷰 동안 이런 직원들을 찾아내곤 한다.

그렇다면 무슨 법적 권리로 휴대용 USB 드라이브를 조사할 수 있는 것일까? 이는 직원들이 직접 서명한 여러 보안 정책들에 기반한 것이다. 비밀 유지 조항, 윤리 조항, 이해상충 조항, 컴퓨터 인가 사용 조항 등 종류는 다양하다.

노동법 전문 로펌인 피셔앤필립스(Fisher and Phillips)의 파트너 변호사인 브렌트 코스로우는 "BYOD(Bring Your Own Device) 관련 규정이 다른 규정과 크게 다르지는 않다. 기업이 특정 사항을 보호할 수 있도록 정책을 수립할 수 있다"라고 말했다.

그는 "기업은 사업적 이해에 피해가 갈 수 있다는 점을 고려해 특정 기간 동안 자신들의 컴퓨터가 어떻게 사용됐는지 살펴보고 싶어한다. 그리고 이것이 가능하도록 BYOD 정책을 수립했다면, 조사가 가능할 수도 있다"라고 덧붙였다.

크로스로우는 직원의 책무 불이행과 영업상의 비밀과 관련된 법적 문제를 전문적으로 다루고 있다. 특히 기업들이 BYOD의 특성상 법적 경계가 불분명한 사안들을 처리하도록 돕고 있다.

직원들은 BYOD 스마트폰이나 태블릿을 개인 용도는 물론 업무에도 사용한다. 또 이들 BYOD 기기는 해당 장치는 물론 클라우드 스토리지 서비스에도 영업상 비밀 정보를 쉽게 저장할 수 있도록 되어 있다.

여기서 법적 논쟁의 중심이 되는 부분은 프라이버시 보호(Expectation of Privacy)이다. 크로스로우는 현명한 기업이라면 기존 보호 정책과 일치하는 아주 상세하면서 맞춤화된 BYOD 정책을 마련할 것이라고 언급했다.

보다 엄격한 정책을 적용한다면, 직원들은 기업용 컴퓨터와 연결해 사용하는 BYOD 스마트폰이나 태블릿에 있어 프라이버시를 요구하는 권리를 양도해야 한다.

즉 개인이 소유한 BYOD 기기임에도 불구하고 프라이버시가 없다고 생각해야 하는 것이다.

더 심해질 수도 있다. 코스로우는 "기업들이 더욱 광범위하게 이들 기기의 개인 데이터를 뒤지기 원하면서 더 많은 판례가 등장할 것으로 판단하고 있다"라고 말했다.

법적 판례
어찌됐든, BYOD 기기를 보유한 직원들에게 직장에서의 프라이버시 보호 문제와 관련해 고무적인 판례 하나가 있다. 스텐가르트 대 러빙 케어 에이전시(Stengart Vs. Loving Care Agency) 판례다.

지난 2007년 12월, 마리나 스텐가르트는 뉴저지에 본사를 두고 있는 러빙 케어 에이전시를 퇴직하면서 성 차별을 이유로 소송을 제기했다. 스텐가르트는 퇴직 직전 회사 컴퓨터로 비밀번호로 보호된 개인 이메일인 야후 이메일을 통해 자신의 변호사에게 연락을 했다.

이는 업무용 회사 컴퓨터로 개인 용무를 본 것이다. 따라서 BYOD의 전례나 다름없다.

러빙 케어 에이전시는 컴퓨터 포렌직 전문가를 고용해 컴퓨터의 포렌직 이미지를 조사해, 이 개인 이메일의 HTML 스크린 캡처를 포착했다. 당시 소송 담당 판사는 이 이메일이 '변호사-의뢰인 비밀 유지 권리'에 따른 보호 대상이 아니라고 판결을 내렸다. 이메일이 기업의 자산이라는 정책이 있었기 때문이다.

그러자 스텐가르트와 그녀의 변호사는 뉴저지 고등법원에 항소를 제기했고, 항소 법정 판사가 판결을 뒤집었다. 이 판사는 개인 이메일인 까닭에 보호 대상이 된다고 판결 이유를 설명했다. 직원들의 프라이버시 권리에 있어서는 큰 승리였다.

판결이 뒤집히는데는 많은 부분이 영향을 미쳤다. 스텐가르트의 컴퓨터에 대한 지식도 그 중 하나였다. 직원 핸드북에 개인 프라이버시 보호 권리를 포기한다고 규정되어 있다고 치자. 그렇다고 하더라도 직원들이 HTML 파일이 어떻게 생성되고, 패스워드를 통해 파일을 보호할 수 있는지 알고 있다는 것을 의미하지는 않는다.

어찌됐든 위 사례는 BYOD와 관련해서는 한 가지 큰 취약점을 시사한다. 변호사-의뢰인 비밀 유지 권리와 관련해 판결이 뒤집혔다는 것이다.

코스로우는 "변호사-의뢰인 비밀 유지 특권이 없는 경우에도 이 판례를 적용, 프라이버시 권리가 보호된다고 보기는 힘들다. 스텐가르드트 판례가 얼마나 광범위하게 적용되겠는가? 여러 형태의 BYOD 정책이 나올 것이다. 그리고 법정에서 여러 형태로 시험 받을 것이다"고 강조했다.

BYOD 정책
BYOD 정책은 특정 기업이 속한 산업에 따라 차이가 있는 법을 준수해야 한다. 앞서 언급했듯, BYOD 정책은 기존 보호 정책과 일치해야 한다. 특정 위험에서 특정 부분을 보호할 수 있도록 BYOD 정책을 수립할 수 있다. 또 퇴직 인터뷰 동안 BYOD를 검사할 수도 있다.

BYOD 직원들은 자신이 서명한 정책을 더 정확히 파악하고 있어야 한다. 경우에 따라서는 프라이버시 보호에 대한 권리를 포기하는 내용이 들어 있을 수 있다.

코스로우는 “BYOD 정책에서 가장 중요한 부분은 사용되는 기기에 대한 기본 규칙을 규정하는 것이다. 만약 기업이 직원들에게 기업용 시스템과 연결해 사용하는 개인 기기와 관련해서는 프라이버시 보호를 기대하지 말아야 한다고 말하고 있다면, 직원들은 이들 기기가 조사 대상이 될 수 있다는 점을 알아야 한다"고 설명했다. ciokr@idg.co.kr



2012.06.01

BYOD, 프라이버시 규정이 필요한 시점

Tom Kaneshige | CIO
일부 직원들은 회사를 그만두거나 경쟁업체로 옮겨가기 며칠 전에, 기업 컴퓨터의 기밀 데이터를 휴대용 USB 드라이브에 몰래 다운로드 받을 수 있다고 생각한다.

그러나 대부분은 그럴 수 없다. 관리자들은 USB 포트 레지스트리(USB Port Registry) 등 포렌직 컴퓨터 분석을 통해 퇴직 인터뷰 동안 이런 직원들을 찾아내곤 한다.

그렇다면 무슨 법적 권리로 휴대용 USB 드라이브를 조사할 수 있는 것일까? 이는 직원들이 직접 서명한 여러 보안 정책들에 기반한 것이다. 비밀 유지 조항, 윤리 조항, 이해상충 조항, 컴퓨터 인가 사용 조항 등 종류는 다양하다.

노동법 전문 로펌인 피셔앤필립스(Fisher and Phillips)의 파트너 변호사인 브렌트 코스로우는 "BYOD(Bring Your Own Device) 관련 규정이 다른 규정과 크게 다르지는 않다. 기업이 특정 사항을 보호할 수 있도록 정책을 수립할 수 있다"라고 말했다.

그는 "기업은 사업적 이해에 피해가 갈 수 있다는 점을 고려해 특정 기간 동안 자신들의 컴퓨터가 어떻게 사용됐는지 살펴보고 싶어한다. 그리고 이것이 가능하도록 BYOD 정책을 수립했다면, 조사가 가능할 수도 있다"라고 덧붙였다.

크로스로우는 직원의 책무 불이행과 영업상의 비밀과 관련된 법적 문제를 전문적으로 다루고 있다. 특히 기업들이 BYOD의 특성상 법적 경계가 불분명한 사안들을 처리하도록 돕고 있다.

직원들은 BYOD 스마트폰이나 태블릿을 개인 용도는 물론 업무에도 사용한다. 또 이들 BYOD 기기는 해당 장치는 물론 클라우드 스토리지 서비스에도 영업상 비밀 정보를 쉽게 저장할 수 있도록 되어 있다.

여기서 법적 논쟁의 중심이 되는 부분은 프라이버시 보호(Expectation of Privacy)이다. 크로스로우는 현명한 기업이라면 기존 보호 정책과 일치하는 아주 상세하면서 맞춤화된 BYOD 정책을 마련할 것이라고 언급했다.

보다 엄격한 정책을 적용한다면, 직원들은 기업용 컴퓨터와 연결해 사용하는 BYOD 스마트폰이나 태블릿에 있어 프라이버시를 요구하는 권리를 양도해야 한다.

즉 개인이 소유한 BYOD 기기임에도 불구하고 프라이버시가 없다고 생각해야 하는 것이다.

더 심해질 수도 있다. 코스로우는 "기업들이 더욱 광범위하게 이들 기기의 개인 데이터를 뒤지기 원하면서 더 많은 판례가 등장할 것으로 판단하고 있다"라고 말했다.

법적 판례
어찌됐든, BYOD 기기를 보유한 직원들에게 직장에서의 프라이버시 보호 문제와 관련해 고무적인 판례 하나가 있다. 스텐가르트 대 러빙 케어 에이전시(Stengart Vs. Loving Care Agency) 판례다.

지난 2007년 12월, 마리나 스텐가르트는 뉴저지에 본사를 두고 있는 러빙 케어 에이전시를 퇴직하면서 성 차별을 이유로 소송을 제기했다. 스텐가르트는 퇴직 직전 회사 컴퓨터로 비밀번호로 보호된 개인 이메일인 야후 이메일을 통해 자신의 변호사에게 연락을 했다.

이는 업무용 회사 컴퓨터로 개인 용무를 본 것이다. 따라서 BYOD의 전례나 다름없다.

러빙 케어 에이전시는 컴퓨터 포렌직 전문가를 고용해 컴퓨터의 포렌직 이미지를 조사해, 이 개인 이메일의 HTML 스크린 캡처를 포착했다. 당시 소송 담당 판사는 이 이메일이 '변호사-의뢰인 비밀 유지 권리'에 따른 보호 대상이 아니라고 판결을 내렸다. 이메일이 기업의 자산이라는 정책이 있었기 때문이다.

그러자 스텐가르트와 그녀의 변호사는 뉴저지 고등법원에 항소를 제기했고, 항소 법정 판사가 판결을 뒤집었다. 이 판사는 개인 이메일인 까닭에 보호 대상이 된다고 판결 이유를 설명했다. 직원들의 프라이버시 권리에 있어서는 큰 승리였다.

판결이 뒤집히는데는 많은 부분이 영향을 미쳤다. 스텐가르트의 컴퓨터에 대한 지식도 그 중 하나였다. 직원 핸드북에 개인 프라이버시 보호 권리를 포기한다고 규정되어 있다고 치자. 그렇다고 하더라도 직원들이 HTML 파일이 어떻게 생성되고, 패스워드를 통해 파일을 보호할 수 있는지 알고 있다는 것을 의미하지는 않는다.

어찌됐든 위 사례는 BYOD와 관련해서는 한 가지 큰 취약점을 시사한다. 변호사-의뢰인 비밀 유지 권리와 관련해 판결이 뒤집혔다는 것이다.

코스로우는 "변호사-의뢰인 비밀 유지 특권이 없는 경우에도 이 판례를 적용, 프라이버시 권리가 보호된다고 보기는 힘들다. 스텐가르드트 판례가 얼마나 광범위하게 적용되겠는가? 여러 형태의 BYOD 정책이 나올 것이다. 그리고 법정에서 여러 형태로 시험 받을 것이다"고 강조했다.

BYOD 정책
BYOD 정책은 특정 기업이 속한 산업에 따라 차이가 있는 법을 준수해야 한다. 앞서 언급했듯, BYOD 정책은 기존 보호 정책과 일치해야 한다. 특정 위험에서 특정 부분을 보호할 수 있도록 BYOD 정책을 수립할 수 있다. 또 퇴직 인터뷰 동안 BYOD를 검사할 수도 있다.

BYOD 직원들은 자신이 서명한 정책을 더 정확히 파악하고 있어야 한다. 경우에 따라서는 프라이버시 보호에 대한 권리를 포기하는 내용이 들어 있을 수 있다.

코스로우는 “BYOD 정책에서 가장 중요한 부분은 사용되는 기기에 대한 기본 규칙을 규정하는 것이다. 만약 기업이 직원들에게 기업용 시스템과 연결해 사용하는 개인 기기와 관련해서는 프라이버시 보호를 기대하지 말아야 한다고 말하고 있다면, 직원들은 이들 기기가 조사 대상이 될 수 있다는 점을 알아야 한다"고 설명했다. ciokr@idg.co.kr

X