"업무용 PC는 회사 자산이니까 마음대로 열어봐도 되겠지?"
"사내 메신저로 기밀을 유출하는 것 같으니, 로그인된 화면을 캡처해서 증거로 확보해야겠다."
인사·정보보안 담당자나 경영진이 사내 보안 감사 또는 징계 조사를 진행할 때 흔히 저지르는 착각입니다. 직원의 비위 행위를 잡아내려는 목적이 있더라도, 법적 절차를 지키지 않으면 오히려 회사가 형사 처벌을 받고 직원에게 민사상 손해배상을 해줘야 하는 역고소 상황에 직면할 수 있습니다.
특히 최근에는 개인 기기를 업무에 혼용하는 BYOD(Bring Your Own Device) 문화와 슬랙, 잔디, 팀즈 등 협업 툴 사용이 보편화되면서, 사생활의 영역과 업무의 영역을 명확히 나누기 어려워졌습니다. 기업이 사내 보안 감사 중 발생할 수 있는 개인정보 침해 및 형사 처벌 리스크를 피하려면 어떤 안전장치를 마련해야 할까요? 법률사무소 완봉과 함께 적법한 가이드라인과 동의서 설계법을 상세히 살펴보겠습니다.
많은 기업이 "회사가 월급을 주고 제공한 기기인데, 회사가 들여다보는 게 왜 범죄냐"고 억울해합니다. 하지만 법원은 기기의 소유권과 그 안에 담긴 정보의 프라이버시권을 엄격히 구분합니다.
직원이 자리를 비운 사이 자동 로그인된 슬랙이나 PC 카카오톡 대화창을 열어보거나, 이메일을 포렌식으로 복구하는 행위는 다음과 같은 법적 책임으로 이어질 수 있습니다.
물론 대법원은 직원의 구체적인 배임이나 기밀 유출 혐의가 합리적으로 의심되고, 필요 최소한의 범위 내로 제한하여 조사한 경우에는 위법성이 조각(정당행위로 인정되어 처벌받지 않음)된다고 보기도 했습니다(대법원 2007도6243). 그러나 이는 재판 과정에서 지난한 입증을 거쳐 겨우 무죄를 받아낸 예외적인 사례입니다. 처음부터 법적 리스크를 차단해 두는 것이 훨씬 현명합니다.
개인 스마트폰이나 노트북으로 업무용 슬랙, 잔디, 노션에 접속해 일하는 BYOD 문화는 정보보안 담당자에게 큰 부담입니다. 기존 사내 PC 감사는 회사 소유 기기를 통제하는 것이었지만, BYOD는 직원의 사적 재산권을 건드려야 하기 때문입니다.
영업비밀 유출이 의심된다는 이유로 직원의 개인 스마트폰을 임의로 제출받아 포렌식을 진행하거나 메신저를 열람한다면 어떻게 될까요? 스마트폰에는 가족과의 대화, 금융 정보, 사적인 사진 등 극히 민감한 개인정보가 담겨 있습니다. 이를 회사가 일방적으로 들여다보는 순간, 보안 감사는 형법상 수색죄(형법 제321조) 및 개인정보보호법 위반에 해당하는 범죄 행위가 됩니다.
BYOD 기기를 감사할 때는 반드시 아래 원칙을 준수해야 합니다.
감사 결과물이 법정에서 유효한 증거로 쓰이고, 감사 담당자가 역고소를 당하지 않으려면 단계별로 적법성을 쌓아가야 합니다.
1단계: 취업규칙 및 사내 정보보안 규정 정비
"회사는 보안 유지 및 자산 보호를 위해 필요한 경우 사내 망을 경유하는 정보통신 활동과 업무용 기기를 모니터링할 수 있으며, 직원은 이를 인지한다"는 내용을 규정에 명확히 명시하고 전 직원에게 공표해야 합니다.
2단계: 입사 시 포괄 동의서 징구
입사 계약 단계에서 정보통신기기 사용 및 사내 모니터링에 대한 포괄적 동의서를 받아둡니다. 다만, 이 동의서만으로 모든 상황을 방어할 수는 없다는 점을 명심해야 합니다.
3단계: 비위 혐의 발생 시 '개별 감사 동의서' 확보
실무상 가장 중요한 단계입니다. 특정 직원의 배임이나 보안 유출 정황이 발견되면, 해당 직원에게 감사의 목적, 모니터링할 기기·데이터의 범위, 보관 및 파기 기한을 명시한 동의서를 별도로 받아야 합니다. 직원이 서명을 거부할 경우, 기기를 강제로 빼앗기보다는 거부 시 취업규칙에 따른 인사상 불이익이 발생할 수 있음을 고지해 자발적인 동의를 유도하는 것이 안전합니다.
4단계: 최소 침해 원칙에 따른 감사 집행
동의를 얻었더라도 기기 전체를 포렌식하는 대신, 유출이 의심되는 특정 키워드(경쟁사명, 특정 프로젝트명 등)나 특정 기간의 메신저 대화로 범위를 한정해야 비례성의 원칙을 충족할 수 있습니다.
포괄적인 동의서는 법적 분쟁 시 효력을 잃기 쉽습니다. 아래 항목들이 구체적으로 반영된 동의서 양식을 설계해야 합니다.
| 필수 항목 | 설계 가이드라인 | 실무 팁 |
|---|---|---|
| 수집·모니터링 목적 | '보안 점검'이 아닌 '영업비밀 유출 방지, 업무상 배임 조사, 사내 괴롭힘 예방' 등 구체적 사유를 열거 | 목적 외 용도로 정보를 사용하면 개인정보보호법 위반 |
| 대상 기기 및 데이터 | 회사 소유 PC, 사내 이메일, 회사 제공 협업 툴의 로그·첨부파일로 명시. 개인 카카오톡 등 사적 메신저는 제외됨을 명문화 | BYOD의 경우 '업무용 앱에 기록된 비즈니스 데이터'로 범위를 명확히 제한 |
| 보유 및 파기 | 징계위원회 종결 또는 관련 소송 종료 시까지 보관 후 즉시 파기함을 기재 | 목적 달성 후 개인정보를 장기 보관하면 추가 리스크 발생 |
| 동의 거부 권리 고지 | 거부 권리가 있음을 밝히되, 거부 시 징계 절차상 불이익이 발생할 수 있음을 고지 | 강요에 의한 동의가 아님을 입증하는 방어막이 됩니다 |
Q1. 입사 시 포괄적 동의서에 서명받았는데, 이것만으로 상시 메신저 감사가 가능한가요?
불가능합니다. 입사 시 받은 포괄적 서약서가 있더라도, 구체적인 혐의나 조사의 합리적 이유 없이 직원의 메신저나 PC를 일상적으로 검열하는 것은 사생활 침해이자 위법한 개인정보 수집으로 판단됩니다. 구체적인 비위 정황이 발생했을 때 사안별로 개별 동의서를 다시 받는 것이 원칙입니다.
Q2. 직원이 자리를 비웠을 때 자동 로그인된 메신저 화면을 발견하고 캡처했습니다. 이 증거를 징계위원회나 법원에 제출해도 되나요?
대단히 위험합니다. 자동 로그인 상태였다 하더라도 당사자 동의 없이 몰래 열람하고 캡처한 행위는 정보통신망법상 비밀침해죄(제49조)에 해당하여 형사 처벌 대상이 될 수 있습니다. 위법하게 수집된 증거는 노동위원회나 법정에서 증거 능력이 부정될 가능성이 크며, 오히려 역고소의 빌미가 됩니다.
Q3. 직원이 업무용 슬랙에서 보낸 개인 DM도 회사가 감사할 수 있나요?
기술적으로는 기업용 플랜에 따라 관리자가 데이터를 추출할 수 있지만, 법률적으로는 개인 DM에도 사적 대화가 혼재될 가능성이 높아 직원의 구체적인 동의나 합리적인 감사 목적이 소명되어야 합니다. 사전에 동의서에 "사내 협업 툴 내의 비공개 채널 및 DM도 업무용 의사소통 수단으로서 감사 대상에 포함될 수 있음"을 명시해 두어야 분쟁을 예방할 수 있습니다.
Q4. 영업비밀 유출이 확실시되는 긴급 상황에서 직원이 개인 기기 제출을 거부한다면 강제로 포렌식할 수 없나요?
강제로 개인 기기를 빼앗아 포렌식을 진행하는 것은 형법상 수색죄 또는 강요죄를 구성할 수 있어 절대 금물입니다. 이 경우에는 경찰 고소 및 압수수색 영장 청구 등 형사 사법 절차를 신속히 밟거나, 법원에 증거보전 신청을 통해 법적으로 기기를 확보하는 것이 정석입니다. 내부 징계가 목적이라면, 기기 제출 거부 행위 자체를 소명 의무 위반으로 간주해 인사상 불이익을 주는 방식으로 대응해야 합니다.
사내 비위 조사는 기업의 권리를 지키는 일이지만, 법률의 테두리를 조금이라도 벗어나면 형사 리스크로 번질 수 있습니다. 보안 감사 프로세스 설계와 적법한 동의서 양식 마련은 기획 단계부터 법률 전문가의 검토가 필수적입니다.
법률사무소 완봉에서는 기업 자문 및 노무·보안 분쟁 대리 경험을 바탕으로, 역고소 우려 없이 내부 컴플라이언스를 강화할 수 있는 맞춤형 법률 상담을 제공하고 있습니다.
본 글은 일반적인 법률 정보 제공을 목적으로 작성된 칼럼이며, 구체적인 사건의 사실관계에 따라 법적 판단은 달라질 수 있습니다. 개별 사안에 대해서는 반드시 법률 전문가의 직접 자문을 받으시기 바랍니다.
