직원들의 AI 활용 모니터링, 어디까지 가능할까?

이른바 '딸깍'의 시대다. 챗GPT로부터 본격화된 생성형 AI는 하루가 다르게 발전해가며 여러 서비스들이 엎치락뒤치락하며 왕좌쟁탈전을 해왔고, 리서치든 문서 작성이든 이미지 편집이든 발표자료 작성이든 업무에 필수적이면서도 많은 시간을 들여 처리해야 했던 업무들이 AI 딸깍 한 번으로 쉽게 뚝딱 처리되는 시대가 되었다.

이와 같이 생성형 AI가 업무 현장에 빠르게 스며들면서 기업은 새로운 고민을 안게 됐다. 직원들이 업무 편의를 위해 생성형 AI를 이용하면서 회사의 기밀정보 여부를 가리지 않고 외부 AI 서비스에 각종 정보를 입력·전송하여 유출하는 사례가 빈번하게 된 것이다. 수많은 계도와 제한에도 업무를 편안하게 처리하고 싶은 욕망과 회사의 정보 보안에 대한 필요가 부딪히는 상황에서, 회사는 어느정도까지 직원들의 인터넷 사용을 감시하고 통제할 수 있을까?

#회사 전산망 모니터링의 법적 근거와 한계
회사가 직원의 업무용 PC와 사내 전산망 사용을 모니터링할 때 가장 먼저 마주치는 법률은 통신비밀보호법이다. 이 법은 전기통신의 내용을 당사자의 동의 없이 지득·채록하는 '감청'을 원칙적으로 금지하고(제3조), 불법 감청으로 취득하거나 채록한 전기통신의 내용은 재판 또는 징계절차에서 증거로 사용할 수 없다고 규정한다(제4조). 개인정보보호법 역시 빠뜨릴 수 없다. 직원의 인터넷 사용 기록, 접속 정보, 입력 내용 등이 개인정보에 해당하는 경우에는 수집·이용에 대한 정보주체의 동의가 원칙적으로 요구되고(제15조), 수집 목적을 벗어난 이용은 제한된다(제18조).

법원은 이러한 법령을 배경으로 회사의 모니터링 적법성을 판단할 때 대체로 네 가지 기준을 검토해 왔다. 첫째, 취업규칙이나 사규 등에 모니터링의 근거가 명시되어 있는지. 둘째, 직원에게 모니터링 사실을 사전에 고지하고 동의를 받았는지. 셋째, 수집 대상이 통신의 '내용'인지 아니면 접속기록·전송내역 등 메타데이터에 그쳤는지. 넷째, 수집의 목적과 범위가 비례의 원칙에 맞는지가 그것이다.

구체적으로, 하급심 법원은 회사가 취업규칙 및 「인터넷 보안 및 이용에 관한 규정」에 근거하여 직원의 인터넷 접속 사이트 주소, 페이지뷰, 접속시간 등을 점검하고 직원이 근무시간 중 업무용 컴퓨터로 쇼핑·뉴스·친목 등 업무와 무관한 사이트에 총 약 427시간(1일 평균 2시간 초과) 접속하였음을 징계의 근거로 삼은 사안에서, 수집·분석의 대상이 세부 입력 내용이 아닌 접속 사이트 주소와 접속시간 등에 그쳤고, 직원이 관련 규정을 숙독하고 동의하였음을 들어 위법하다고 보기 어렵다고 판단하였다(서울고등법원 2021. 11. 17. 선고 2020누67515 판결). 같은 맥락에서, 회사가 보안업무지침에 근거한 보안진단 과정에서 서버에 남아 있는 문서 암호해제 파일목록, USB 전송 내역, 메일 전송 내역 등을 분석하여 직위해제·감봉 등의 인사조치를 한 사안에서도, 서버에 남은 전송 내역 등을 분석한 것은 적법하고 이를 근거로 한 징계 역시 위법하다고 보기 어렵다고 판단하기도 하였다(서울고등법원 2016. 11. 9. 선고 2016나2028949 판결).

반면 법원은 회사 운영자가 직원의 업무용 컴퓨터에 직원의 동의 없이 화면 자동 캡처·전송 프로그램을 설치하여 카카오톡 메시지 내용과 인터넷 브라우저 화면을 실시간으로 수집·저장한 사안에서는, 법원은 이를 전기통신 감청으로 보아 통신비밀보호법 위반을 인정하고 징역 1년에 집행유예 2년을 선고하였고(서울동부지방법원 2017. 1. 13. 선고 2016고합274 판결), 회사가 포렌식 업체를 통해 근로자가 사용하던 컴퓨터의 인터넷 검색기록, 웹사이트 방문기록, 앱 로그 등을 무단으로 탐지한 사안에서, 법원은 해당 정보가 개인정보보호법상 개인정보에 해당하지 않더라도 사생활의 비밀 및 정보자기결정권을 침해하는 불법행위가 된다고 보아 위자료를 인정하기도 하였다(대구지방법원 2024. 8. 21. 선고 2023나320254 판결). 이러한 판결들은 사전 고지와 동의 여부, 그리고 ‘통신 내용’의 수집 여부에 따라서는 회사의 직원 모니터링이 형사처벌의 대상이 될 수 있을 뿐 아니라, 이를 통해 취득한 자료를 징계절차에서도 증거로 사용할 수 없음을 보여준다.

#적법한 전산 모니터링을 위한 요건과 유의 사항
위에서 살펴본 판례들이 형성한 법리에 덧붙여, 직원들이 생성형 AI에 입력하는 프롬프트는 전기통신의 ‘내용’에 해당할 가능성이 높다는 점을 고려하면, 회사는 직원들의 AI 사용 등 사외 전산망 사용에 대한 모니터링 체계를 구축·운용하기 위하여 다음과 같은 요건을 갖추도록 해야 할 것이다.

우선 사규상 근거가 명확해야 한다. 취업규칙, 보안 관련 사내 규정, 또는 생성형 AI 사용 지침 등에 모니터링의 목적, 대상, 방법, 범위가 구체적으로 명시되어 있어야 한다. 특히 만일 회사가 보안 시스템과 트래픽 복호화 등의 기술적 수단을 통해 통신 내용 수준의 정보를 수집하는 경우라면, 그 사실이 규정에 명확히 기재되어 있는지를 반드시 확인해야 한다.

다음으로 사전 고지와 동의의 내용이 구체적이어야 한다. "회사가 인터넷 사용내역을 모니터링할 수 있다"는 포괄적 문구만으로는 프롬프트 내용 수준의 수집에 대한 동의로 보기 어려울 수 있다. 보안 관련 사내 규정, 보안서약서, 생성형 AI 사용 지침 등에 회사의 전산 보안상 복호화를 통한 입력 내용 수집 가능성을 명시하고, 직원이 그 내용을 인지하고 서명하였다는 사실을 확인할 수 있도록 해두는 것이 바람직하다.

또한 수집 범위와 방법은 목적에 비례해야 한다. 보안 목적의 모니터링이라면 보안 위협의 탐지에 필요한 최소한의 범위에서 이루어져야 하고, 일상적인 업무 감시를 목적으로 상시적·포괄적인 내용 수집을 하는 것은 비례성 요건을 충족하기 어려울 수 있다. 또한 수집된 정보에 접근할 수 있는 인원의 범위를 제한하고, 보관 기간과 파기 절차를 명확히 하여 수집 목적 외의 활용을 방지해야 한다.

마지막으로 모니터링 결과를 징계에 활용할 경우에는, 그 수집 과정이 위에서 언급한 요건을 모두 갖추었는지를 사전에 법무 부서 또는 외부 자문을 통해 검토하는 절차를 거치는 것이 좋다. 통신비밀보호법 제4조는 불법 감청으로 취득한 자료의 증거사용을 금지하고 있어, 수집 과정의 하자는 징계의 유효성 전체를 흔들 수 있기 때문이다.

생성형 AI는 업무 효율을 높이는 도구인 동시에, 기업의 기밀정보가 외부로 유출될 수 있는 새로운 통로이기도 하다. 회사가 보안 목적으로 이를 모니터링하려는 필요성은 충분히 이해할 수 있다. 그러나 판례가 일관되게 보여주듯, 모니터링의 필요성이 아무리 크더라도 사전 고지·동의 없이 통신 내용에 손을 대는 순간 형사처벌과 징계절차 등에서의 증거사용 금지라는 이중의 위험이 따라온다. 생성형 AI를 포함한 전산망 모니터링 체계를 도입하거나 정비하려는 기업이라면, 지금 운용 중인 시스템이 어느 단계의 정보를 수집하고 있는지, 그리고 그 수집에 대한 동의가 충분히 구체적인지를 다시 한번 점검해볼 필요가 있다.

송우용 법무법인 세종 변호사