정보보안분야에서 근무하는 담당자들과 만나 이런저런 얘기를 하다 보면 간혹 예상치 못한 질문들이 쏟아지는 경우가 있다.

그런 질문들 중 왕왕 등장하는 것으로 직원들이 개인용 소프트웨어를 회사 PC에 설치해 사용하는 경우에 대한 어려움을 토로하는 경우가 많다.

더 정확히 표현하면 회사에서 인가하지 않은 비인가 소프트웨어를 직원이 임의로 회사 PC에 설치해 사용하는 경우를 의미한다.

보통의 기업들의 경우 비인가 소프트웨어 사용여부를 점검하고 제재하는 업무는 보안조직의 업무가 아닌 총무부서 등에서 수행하는 것이 일반적이다.

하지만 업무란 것이 똑부러지게 네일 내일 분리하기 어렵듯이 비인가 소프트웨어에 대한 점검도 애매하게 보안조직에게도 한 발 걸쳐져 있는 것이 현실이다.

보안조직이 검증하고 안전을 확인하지 않은 소프트웨어의 경우 혹시 내부에 심어져 있는 악의적 기능에 의해 기업정보를 유출하거나 기업 내부를 공격하는 데 악용될 수 있음을 우려하기 때문이다.

이래저래 보안이란 업무는 이렇게도 저렇게도 다 엮이는 힘든 업무임에는 분명한 듯하다.

하지만 직원이 임의로 개인용 소프트웨어를 회사에서 설치해 사용하는 행위는 보안이 아니라 저작권법 위반 행위로도 때로는 회사에 큰 피해를 끼치는 행위가 될 수 있다.

많은 경우 소프트웨어 사용에 있어 개인용과 기업용에 대한 라이선스가 다르게 책정되어 있기 때문이다.

즉, 개인 라이선스를 가진 소프트웨어를 임의로 회사에서 설치해 사용하다 적발되는 경우 무단 불법사용으로 기업이 소프트웨어 제조업체에게 피해보상을 해야만 한다.

대부분 소프트웨어 가격이 비싼 디자인용 프로그램들을 불법으로 사용하는 경우가 많이 보고되는데 적발되는 경우 상당한 합의금을 물어주게 되므로 주의해야 한다.

규모가 작은 기업의 경우 직원이 임의로 몰래 설치한 비인가 소프트웨어가 적발되어 폐업했다는 사례도 확인 가능하기 때문이다. 따라서 다음에서 얘기하는 기본사항들을 잘 숙지하고 있는 것이 중요하다.

첫째, 소프트웨어의 사용은 전적으로 라이선스에 명시된 사용허락 내용에 따라야 한다. 

개인용으로 구매한 경우 가정에서만 사용해야 하며, 기업에서 배포한 경우 회사에서만 사용하는 것이 원칙이다.

둘째, 개인용의 경우 간혹 1+1까지 라이선스를 허용하는 경우가 있다. 즉 기본 PC 이외 1대까지 추가설치를 허용하는 것이다.

하지만 그렇다고 회사 PC에 설치하는 것은 좋지 않다. 대부분 1+1을 허용하는 경우는 생성한 자료의 훼손, 멸실 등에 대비하기 위한 백업의 목적으로 추가 1대에 대한 설치를 허락하는 것이기 때문이다.

셋째, 개인 소유의 노트북이라도 회사에 가져와 업무를 수행하는 경우 기업 소유로 간주된다.

따라서 노트북에 설치된 불법 소프트웨어의 경우 회사의 책임으로 간주될 수 있어 불법설치로 적발되는 경우 개인뿐 아니라 회사도 처벌이 가능하다. 가급적 개인 노트북을 회사에 가져오는 행위는 하지 않는 것이 좋다.

넷째, 고가의 소프트웨어에 대한 부담 때문에 회사에서 조직적으로 불법으로 설치해 사용하는 경우가 있을 수 있다. 이때에도 회사뿐 아니라 소프트웨어를 사용한 직원 개인도 처벌받을 수 있다.

다섯째, 최근 개발된 소프트웨어들은 라이선스를 위반한 불법 설치를 적발하기 위한 기능을 내부에 포함하고 있는 경우가 많다.

어느 날 갑자기 기업에 소프트웨어 불법 설치에 대한 고소장이 공문으로 접수될 수 있는 이유다.