고성능 CCTV를 설치해 직원 감시 논란을 일으켰던 MBC가 이번에는 사원들 몰래 사원들의 이메일, 메신저 등을 무차별 감시하고 있다는 논란에 휩싸였다.

MBC는 "해킹을 방지하기 위한 프로그램을 설치한 것"이라고 해명하고 있으나 노조는 "일종의 해킹 프로그램으로 조직원들의 사생활까지 감시한다"며 법적 대응에 나서겠다는 입장을 밝혔다.

보안 프로그램 무차별 깔려

3일 전국언론노동조합 MBC본부(본부장 정영하)와 MBC, 보안프로그램 제조사 등의 말을 종합하면, MBC는 노조의 파업이 한창이던 지난 5월 중순~말경 해킹방지 프로그램인 '트로이컷'을 서버에 설치했다. 아직 이 프로그램을 정식 구매하진 않았으며, 3개월째 테스트 중이다.

보안프로그램으로 유명한 T사의 이 제품은 바이러스, 외부 해킹 등을 막기 위한 고성능 해킹 방지 프로그램이다. 이 자체로는 문제가 될 것이 없다.

이 프로그램이 논란이 되는 이유는 크게 세 가지다. 구성원의 동의 없이 프로그램이 무차별 설치됐고, 프로그램이 본래 기능 이외 목적으로 활용돼 직원들의 사생활을 감시할 수 있으며, 보통의 PC 사용자라면 프로그램 설치 사실을 알 수도 없기 때문이다.

이 프로그램은 MBC 사내 전산망에 접속만 하면 자동적으로 접속자의 PC나 노트북에 깔린다. 이 때문에 MBC 내부 임직원은 물론, 외부자인 작가와 직원의 가족 PC에도 프로그램이 설치됐다. 언론노조에 파견된 MBC 노조 구성원의 PC에도 이 프로그램이 깔린 게 확인됐다.

MBC 내외부 인사를 가리지 않고, MBC 전산망에 접속한 이의 PC 상당수에 이 프로그램이 깔렸을 가능성이 높다는 얘기다. 다만 프로그램 특성상 64비트급의 PC나 애플컴퓨터에는 설치가 되지 않는 것으로 추정된다.

MBC에서는 "회사 전산망에 접속할 경우 'Inciter'라는 설치 프로그램이 화면에 팝업으로 뜨며, 설치에 동의해야만 프로그램이 깔린다"고 했으나 노조 집행부가 우연히 관련 프로그램이 설치된 걸 확인하기 전까지는 누구도 이 프로그램 설치 사실을 몰랐다.

이용마 MBC노조 홍보국장은 "조직원 누구도 이 프로그램 설치 동의를 묻는 팝업을 보지 못했다"며 "컴퓨터에 대해 잘 아는 노조 조직원이 관련 폴더를 못 찾았다면 설치 사실을 알지 못했을 것"이라고 지적했다.

프로그램 설치 사실은 PC 운영체제 윈도에서 숨겨진 폴더를 볼 수 있도록 설정하지 않으면 알 수 없다. T사 사장인 S씨는 "'V3' 프로그램처럼 아이콘이 눈에 보이도록 할 수 있지만, 고객이 원할 경우 설치 사실이 보이지 않도록 설치할 수 있다"며 "고객기관 중에는 아이콘이 보이게 하는 경우도 있고, 보이지 않게 하는 경우도 있다"고 말했다.

MBC가 특별히 원했기 때문에 프로그램이 눈에 보이지 않도록 설정됐다는 얘기다.

▲MBC 노조가 밝힌 김민식 노조 부위원장 메일의 전송 로그기록. 메모장을 통해 관련 폴더 로그기록을 열면, 메일에 어떤 내용이 씌여졌는지도 확인 가능하다. ⓒMBC 노조 제공.

메신저 대화 내용까지 모두 저장돼

특히 이 프로그램이 논란이 되는 이유는 '해킹 방지'라는 본래 목적 이외의 용도로 관련 프로그램이 활용될 가능성이 매우 높기 때문이다.

이 프로그램은 본래 기능 이외에 직원 1인당 5000원의 추가 요금을 내면 로그 기록을 서버에 자동 저장할 수 있는 옵션 기능을 활용할 수 있다.

이 기능이 현재 노조가 가장 문제시 하는 부분이다. 실제 노조가 관련 로그 기록을 확인해 본 결과를 기자들에게 제공한 자료에 따르면, 이 프로그램이 깔린 PC나 노트북에서 메일이나 USB 등을 통해 외부로 전송된 파일의 이름이 고스란히 서버에 저장됐다. 메일을 썼을 경우 메일에 쓰인 내용을 확인할 수 있었고, 첨부 파일의 이름을 확인 가능했다. 심지어 메신저로 오고간 사적인 대화내용도 모두 로그기록에 남았다.

실제 노조가 이용마 홍보국장의 노트북에서 로그가 수집된 기록 화면을 저장해 둔 자료를 보면, 지난 달 27일 이용마 홍보국장이 자신의 하드디스크에 있던 '김재우논문표절 맞다'라는 한글 문서 프로그램을 이메일에 첨부해 전송한 로그기록이 선명히 남았다.

더구나 중요한 내용이 담긴 이 내용은 암호화되지 않은 채 서버에 저장되고 있었다. 노조가 차모 실장을 통해 확인한 바에 따르면, 실재 차모 실장은 "테스트를 위해 자신의 자료가 수집된 내역을 매일 같이 확인한다"고 말한 것으로 알려졌다.

다른 이의 자료는 법적인 문제로 인해 열람하기 어려우므로, 자신의 로그기록만 열람하고 있단 뜻이지만, MBC 사내에 관련 규정이 없는 마당이라 원할 경우 누구든, 아무 때나 관련 자료를 확인할 소지가 있는 부분이다. 대개의 경우 보안 프로그램을 사용하는 기업은 관련 내용을 아무나 알아볼 수 없도록 암호화 해 저장한다.

MBC "사찰 목적 아냐"

MBC는 '정보 사찰 아니냐'는 노조의 주장에 대해 "감시나 사찰 목적이 아니"라며 "내부 통제나 사찰이 주목적이었다면 현재 시험 중인 시스템보다 훨씬 강력한 통제 기능을 가진 시스템을 검토했을 것"이라고 반박했다.

나아가 "타방송사에서 시험 중인 시스템은 메일 전송을 하거나 외부에 자료를 복사 하고자 할 때 상급자의 승인이 있어야 하는 기능을 내장하고 있다"며 "외부 유출 자료의 서버 저장은 물론 강력한 검색 기능까지 갖추고 있어 기능 면에서만 본다면 회사가 시험 중인 시스템보다 훨씬 우수하다고 할 수 있다"고 강조하기도 했다.

실제 이 방송사에서 시험 중이라는 관련 프로그램은 일반 대기업이 사용 중인 내부정보유출방지 시스템(DLP)으로, 이메일에 첨부된 파일의 내용까지 열람 가능하거나, 로그 기록을 검색하는 기능도 갖추는 등 '트로이컷'보다 강한 감시기능을 가진 게 사실이다.

그러나 관련 프로그램은 대부분 특정 검색어를 통해 사내 프로그램 유출을 방지하는 논리구조를 갖고 있어, 이처럼 무차별적으로 자료를 수집하는 프로그램과는 성격이 다르다.

대부분 내부 통제 프로그램의 주목적이 특정한 자료의 유출을 막기 위해 특정 키워드에 한해 깊숙이 들여다보는 기능을 갖고 있다면, 이 프로그램의 옵션 기능은 깊이는 볼 수 없어도 내외부에 도는 모든 기록을 수집하는 데 주목적이 있다고 할 수 있다.

이와 관련, 한 공영방송사 관계자는 "우리 회사에는 저 정도로 강한 수준의 감시 프로그램이 설치돼 있지 않다"며 '트로이컷'이 일반적으로 언론사가 사용하는 감시 프로그램 이상의 수준이라고 설명했다.

▲관련 프로그램은 MBC 사내 메일뿐만 아니라 구글 메일 전송내역도 확인 가능하다. 실험을 위해 노조가 'from gmail to star'라는 제목의 메일(그림 상단 붉은색 밑줄 부분)을 전송한 결과, 관련 로그기록이 실시간으로 사내 서버에 전송됐다(하단 붉은색 밑줄 부분). ⓒMBC 노조 제공.

사전 고지 안 돼… "설치 목적 의심"

이 때문에 노조는 MBC가 직원 동의 없이 관련 프로그램을 설치한 데 다른 목적이 있는 것 아니냐는 의구심을 품고 있다.

이 프로그램이 설치되는 과정에서 직원들의 동의를 구하는 절차가 없었고, 공지도 제대로 되지 않았다. MBC는 "많은 기업들이 보안 관리 목적으로 자체 전산망에 접속되는 정보기기를 통제하고 관련 프로그램을 설치하고 있으나, 대부분이 별도의 동의 절차 없이 시행하고 있다"며 문제 될 게 없다고 밝혔다.

노조는 그러나 "이 프로그램이 동작 중임을 알리는 어떤 지표도 없고, 실행파일 목록에도 나타나지 않아 파일의 존재를 의도적으로 은폐하려 했다는 의혹을 지울 수 없다"며 "김재철 사장의 법인카드 사용기록이 폭로된 뒤 자료 유출자를 파악하는데 실패하자, 직원 감시를 위해 급히 설치한 것 아니냐"고 의문을 표했다.

실제 노조에 따르면, 이 프로그램을 설치할 당시 김재철 사장은 "대외비 자료가 유출되는 건 말이 안 된다"며 보안대책 마련을 촉구한 것으로 알려졌다. 김 사장의 법인카드 사용 내역이 유출된 후 한 달 반여가 지난 4월 중순 정보콘텐츠실장이 교체됐고, 다음 달 관련 프로그램 테스트가 시작된 것도 시기적으로 미묘한 정황을 남긴다.

정영하 MBC노조위원장은 "사측이 고성능 CCTV를 몰래 설치한 데 이어 직원들의 개인정보까지 무차별 수집하고 있다"며 "사찰 종합세트를 만든 것"이라고 비판했다. 이어 "현 경영진은 이 프로그램을 설치한 담당자로서 진상조사 능력이 없다"며 "다음 경영진이 들어온 후 사건의 전말을 낱낱이 파헤칠 것"이라고 말했다.

MBC 노조는 법률 검토를 마친 후 김재철 사장 등 경영진 6명을 통신비밀보허법 위반 등의 혐의로 고소하는 한편, 관련 프로그램이 PC나 노트북에 설치된 직원과 작가 등 원고인단을 구성해 개인정보 침해에 대한 손해배상청구소송을 제기할 예정이다.

그러나 MBC는 "본 시스템 도입은 노조 파업과 무관하다"며 "관리되는 자료가 열람되거나 어떠한 목적에도 사용된 일이 없다"고 반박했다. 또 "일부에서 우려하는 자료 보안에 대해서는 충분히 이해하고 있다"며 "관련 안전장치를 갖출 것"이라고 설명했다.

한편 MBC는 "조만간 본 시스템 관련 시험 운영을 끝내고 서버 등 운영 장비 도입이 완료되면 시스템 도입 계약을 거쳐 본 가동 체제에 들어갈 예정"이라며 "올해 3월부터 발효 중인 개인정보보호법에 따라 사내 출력물에 대한 기록 관리와 개인정보 유출 내역 관리 기능도 조만간 적용할 것"이라고 밝혔다.