회사는 직원들을 감시하며 통제한다.

이 글은 대단히 감정적인 글이며 지극히 개인적인 일이다.

나는 오늘 대단히 기분나쁜 일을 당했다.
이것은 지극히 프라이버시를 침해한 일이며, 
회사가 저지른 부당한 일임에 틀림없다.
여러분의 회사는 그러지 아니한가 알아보기 바란다.

나는 현재 여의도의 모 금융권 대기업의 SI 프로젝트에 참여하고 있다.
개인적으로 이 여의도라는 동네의 회사들을 지극히 싫어한다.
대단히 고지식하며 따분하고 짜증나게 한다.

정장입기를 강요하며, 귀걸이를 착용하지 말라고 압박하며
긴팔 와이셔츠를 입으라고 협박하는 곳이다. 그것이 외주 업체의
개발자임에도 불구 하고 말이다.
(그러면서 에어컨은 정말 짜증날 정도로 시원하지 않다.)

매일 나는 아침마다 더워 죽겠는데 긴팔 와이셔츠에 상의를 걸치고
출근한다. 아주 돌아버릴 지경이다.  겨우 이곳 몇개월을 위해
비싸디 비싼 정장을 구입했으며, 한 여름에는 잘 나오지도 않는
긴팔 와이셔츠를 구입했으며, 여름용 긴팔 와이셔츠가 없어서
좀 부꺼운 긴팔 와이셔츠도 입는다.  젠장.

이는 대단히 불합리하며 비효율적인 작태라 아니할 수 없다.
이 한여름에 긴팔 와이셔츠는 도대체 왜 착용하라고 하는가!

어쟀든, 각설하고,

많은 회사들이 보안을 이유로 지극히 말도 안되는 일에 직원들과
업무 당사자들을 억압하며 휘두르고 있다.

보안, 이 것은 아주 중요한 요소 이다.
그 어떤 방법으로든 보안상의 이유를 든다면 이것은 합리화 된다.
다만, 이 보안상의 이유로 업무상 제한을 가한다면,
어떤 방식으로, 어떤 정보들을 감시하는지에 대한 명확히
제시하며 감시당하는 이들이 불이익을 당하지 않도록 해야한다.
이것은 지극히 당연하며 꼭 필요한 일이다.

회사는 나의 이메일을 감시할 수 있고, 내가 설치하는 프로그램들이
어떤것들인지 내가 적는 글들이 어떤식으로 감시 당하며 보관 되어지는를
명확히 알고 있어야 회사에서 원하는 엄한 정보나 혹의 내 지극히
개인적인 정보들이 노출되는 것을 방지하지 않겠는가!

생각해 보라, 내가 나의 개인 웹사이트에 내 ID와 그 비밀번호를
적어 놓는데, 이를 회사 프록시나 혹은 감시자가 캐치했다면,
이것은 역으로 나의 정보를 회사가 아무렇게나 취급할 수 있는 여지가
충분하지 않은가?

회사가 업무담당자들의 보안의식을 못믿어 감시하고 있다면,
반대로 내 정보를 감시하는 보안담당자들의 보안의식은 과연 믿을만 한가?
그것을 피 감시자인 업무담당자들에게 충분히 설명하고 있는가?

나는 오늘, 단지 메신저를 설치했다는 이유로 PM으로 부터 사실 확인서를
작성하라는 얘기를 들었다. 특정 방식으로 메신저를 사용한것도 아닌
설치를 이유로 경고와 동시에 '반성문'이라 일컫는 문서를 작성했다.

내 30점짜리 인성상 충분히 열받으라는 식으로 문서를 작성했으나
중간에 PM이 바꾸어 올렸버렸다. 이것도 사실 별로지만, 그래도
'을' 회사의 입장이 있으니.. 참 엿같긴 하다.

나는 SI가 처음도 아니니 어느정도 감시와 통제에 대해서는 이해하고 있다.
내가 지금껏 일해왔던 '갑'의 대규모 회사들은 다 이런젓을 하고 있다.
하지만, 메신저등의 특정 프로그램을 설치하는 것으론 별다른 제한을
가하지 않는다.  다만 설치 후 실행을 못하게 한다든지, 원천적으로
설치를 방지 한다든지 혹은 실행 후 패킷등의 검사로 이를 못하도록
제한하고 있다.

이것이 회사의 입장으로써 당연한 것이다.

문제는 여기서, 아에 사용자의 화면자체를 감시하는 것은 대단히
문제가 된다. VNC등의 서버를 사용자의 컴퓨터에 설치하고 이를
삭제못하게 하며 사용자도 모르게 VNC 클라이언트등으로 내 컴퓨터를
볼 수 있다.

또한 특정 프로그램으로 내가 어떤 프로그램을 설치했는가 자체를 알아
낸다는 것은 개인 프라이버시 침해가 되지 않는가!
이를 알수 있다는 것은 내 프로그램의 내 일이 충분히 노출될 수 있다는
것을 의미한다.

어디 내 개인정보나 전화번호, 계좌번호, 비밀번호등을 함부로 적을 수나
있겠는가. 이를 피 감시자인 나에게 알려주지 않았다.

이게 뭐하는 행태인가? 대단히 무식하고 어이없는 짓이다.

그들은 나에게 이러한 모든것을 알리지도 않은 체 나에게 '반성문'을
요구하였다.

자, 나는 대단히 기분 나쁘게 생각했으며, 이 보안이라는 것에 구멍을
내고 싶다는 생각을 했다.
아주 가볍게 정말 엿 먹이고 싶다는 생각을 소심하게 했으며,
지금 계획중이기도 하다. :-)

이것은 다르게 생각해 볼 일이다.
회사가 취급(?)하는 직원들에 대한 행동양식이다.

과연, 회사는 하드웨어적인 시스템적으로 완벽하게 업무취급자들의
시스템을 제한할 수 있는가? 당연히 불가능 하다.
어이 없게도 회사들은 USB 스틱, USB 하드디스크 등을 소켓에 꼽고 읽고
쓰는 것만으로도 알수 있다.
이를 쓰지 못하도록 하게는 하고 있지만 이는 방법이 없는 것도 아니다.

단적으로 리눅스 라이브CD로 부팅하여 USB를 꼽고 NTFS로 마운트하여
복사한다면 어떻게 알겠는가.

이들이 취하는 보안이란 것은 사실 우수운 것이다.
물론 이것은 최소한의 조치인 것을 왜 모르겠는가!
그렇다 최소한의 조치이다.

최대한의 조치는 바로 업무 담당자들의 보안의식을 높이는 것이다.
그러나 실제는...

그래, 그들은 보안의식을 높이기 보단, 억압하며 그들에게 불이익을
줌으로써 협박하는 것을 보통 택하고 있다.

그렇게 한번 호되게 당하고 나서, 아! 이러면 안되겠다. 조심해야지!
과연 이렇게 얼마나 생각하겠는가.
많은 사람들이 X같이 걸렸네, 짜증나.. 하면서 술 한잔 마시고
잊어버리면 끝이다.

하지만, 실수로 치부하며 담당자들에게 조심성을 일깨우고 교육을 함으로써
보안의식을 높이게 해준다면...?

그들이 과연 혹시라도 있을 한명의 나쁜 생각을 가진 자가 시스템적이든,
아니면 몰래 문서를 빼돌리든, 이런 일을  하는 자가 생겨난다면,
그 후야 어떻든 이는 궁극적으로 회사 또한 잘못을 포함하고 있다.

적당히 당근과 채찍이 필요한 것은 어느 곳에든 있다.
방법과 수준을 무시하고 억압하는 곳은 언젠가는 분명 그로인해 불이익을
얻게될 것이다.

그대들의 회사는 지금, 그대들의 PC를 통해 그대들을 어떻게 감시하고
있는가?

어떤 방식으로? 이메일? 메신저? 패킷? 아니면 화면을 통째로?
조심하라, 그대들이 무심코 적는 ID, 패스워드, 계좌번호, 주소,
전화번호등이 해커가 아닌 보안 담당자들에 의해 침탈당할 수 있다.
아는가? 모르는가?

걱정된다면, 최소한 아래와 같이 사용하라.
https 를 지원하는 이메일을 사용하라.
한 예로, gmail 은 https 를 지원하고 있다. 이메일이 암호화되어 외부와 통신할 것이다.

가능한한 개인정보를 담고 있는 사이트를 접속해야 한다면, https를 지원하는 곳으로 선택하라.

telnet은 사내 혹은 내부적으로만 사용하라.
외부접속은 무조껀 ssh 를 사용하라.  내 계정이 모두 노출 되는 것을 방지하라.
더불어 ftp 또한 secure ftp를 이용하라.

혹시 메신저가 된다면, 요새는 대부분 대화의 암호화를 지원한다.
꼭 체크할것.

가볍고 적당히 사용할 ssh 서버를 알고 있는가?
브라우징을 할때, ssh 터널링을 사용하라. 혹, 부하가 걱정된다면
그때 그때만 사용하라. 완벽하게 22번 포트로 암호화 되어 나간다.

그러나 엿같지만, 당신의 화면을 보거나 캡쳐하고 있다면,
아무 소용없다.

아마도 들어가고 나가는 모든 패킷을 내가 통제하는 프로그램을 작성하거나
사용하게 된다면, 아마도 관리팀에서 전화가 오게 될것이다.

세상을 언제나 약자에게 불합리하며, 그렇지 않은 곳에 있다면,
당신은 행복한지 알아야 한다. :-(
 

ps, 보안담당자들의 의식을 욕보이는 것이 아니다.
다만, 이런 행태를 일삼는 특정 회사들의 보안을 미끼로한 개인의
프라이버시 침탈을 욕하는 것이다.

첫줄에서도 얘기했지만, 이것은 지극히 감정적이며 개인적인 글이다.
오해하지 말길 바란다.