
"현업 전산 관리자가 마주하는 소프트웨어 라이선스의 현실"
기업의 전산 부서와 보안 실무를 책임지는 관리자들에게 매년 찾아오는 가장 곤혹스러운 순간은 단연 오토데스크(Autodesk)나 다쏘시스템(Dassault Systèmes) 같은 대형 소프트웨어 저작권사 또는 이들의 권한을 위임받은 법무법인으로부터 날아오는 저작권 공문과 기습 단속이다. 현업에서 직접 기업의 IT 자산을 관리해보니, 사내 임직원 중 단 한 명이라도 편의를 위해 무심코 설치한 크랙 프로그램이나 라이선스 규정을 위반한 무료 유틸리티는 기업 전체를 심각한 법적 분쟁과 수억 원대의 합의금 요구라는 수렁으로 몰고 가는 트리거가 된다.사후약방문식으로 수천만 원에 달하는 벌금이나 합의금을 지불하며 사태를 수습하기 전에, 분기별 자체 감사 프로세스를 정립하고 기술적 통제 루틴을 상시 가동하는 것만이 기업의 전산 인프라와 재무 안전성을 지키는 유일한 해결책이다. 실무진이 매 분기마다 수행해야 할 라이선스 자체 감사 프로세스와 저작권 공문 수신 시의 올바른 대응법, 그리고 액티브 디렉토리(Active Directory) 환경에서의 강제 기술 통제 루틴을 상세히 공유하고자 한다.
저작권 공문의 발송 메커니즘과 무대응의 파국
많은 중소기업과 스타트업의 전산 담당자들이 "우리처럼 규모가 작은 회사까지 단속하겠느냐"라는 안일한 판단으로 초기 경고를 무시하곤 한다. 그러나 저작권사들이 공문을 발송하고 감사를 개시하는 기준은 매우 정교하고 다각적이다.실무적으로 분석한 저작권 공문 발송의 주요 트리거는 다음과 같다.
- 사내 네트워크 내부에서 크랙 소프트웨어가 외부 불법 인증 서버와 통신을 시도하다 저작권사의 모니터링 시스템에 IP 주소가 수집 및 탐지되는 경우.
- 기업이 영위하는 업종 특성상 캐드(CAD)나 그래픽 툴을 필수적으로 사용해야 하는 업종임에도 불구하고, 라이선스 구매 이력이 전혀 없거나 극히 저조한 경우.
- 채용 정보 사이트에 특정 소프트웨어(예: CATIA, AutoCAD 등) 능통자 우대 요건이 포함된 구인 공고를 지속적으로 게재하는 경우.
- 전·현직 임직원의 내부 고발 및 외부 제보가 접수되는 경우.
단속 리스크를 제로로 만드는 3단계 감사 및 통제 프로세스
사내 불법 소프트웨어 오남용을 원천 차단하고 저작권사의 기습 단속에서 법적 면책권을 확보하기 위해 실무자가 반드시 이행해야 할 3단계 제어 프로세스는 다음과 같다.1단계: 저작권 공문 수신 시의 실무적 긴급 대응 프로토콜
갑작스럽게 내용증명을 받았다면 당황하여 성급하게 잘못을 시인하거나 반대로 무작정 발뺌하는 극단적인 조치는 지양해야 한다.- 발송 주체 및 권한 확인: 가장 먼저 공문을 보낸 곳이 저작권사 본사인지, 혹은 정식으로 권한을 위임받은 법적 대리인 법무법인(예: 법무법인 선인, 다온 등)이 맞는지 꼼꼼하게 검증한다. 권한이 불분명한 중간 판매 대리점(리셀러)에서 실적 올리기용으로 보낸 단순 영업성 공문인지 구별하는 것이 급선무다.
- 공문 유형 분류 및 분석: 수신한 문서가 단순 정품 구매를 독려하는 '일반 공문'인지, 라이선스 계약서(EULA)상의 감사 조항에 의거한 '감사 공문'인지 가려내야 한다. 일반 공문은 현장 실사를 동반하지 않으므로 자체 점검 후 정품 구매를 조율하면 되지만, 공식 감사 공문은 실제 실사 일정이 수반되므로 완벽한 대비가 필요하다.
- 사내 자체 전수조사 실시: 저작권사 측에 서면 답변을 회신하기 전, 사내 전체 PC의 실제 설치 현황을 전수조사하고 법인이 보유 중인 정품 라이선스 증서 및 세금계산서와 대조하여 실제 불일치(Shortage) 수량을 명확히 산출한다.
- 합리적인 합의 및 구매 협상 유도: 다쏘시스템(CATIA) 등 일부 외산 저작권사는 단 한 대의 불법 복제본 사용이 적발되더라도 실제 사용하지 않는 고가의 상위 패키지(Full Module) 구매와 과도한 합의금을 동시에 요구한다. 이 경우 무조건 요구에 응하기보다 실제 프로그램의 사용 기간, 설치 대수, 영리 목적성 부재 등을 객관적으로 소명하고 저작권법 및 판례를 바탕으로 통상적인 라이선스 가격 수준으로 손해배상액을 낮추는 방어적 협상을 진행해야 한다.
2단계: 스마트체크(SMART Check)를 활용한 분기별 사내 PC 자체 실사
평소 기습 단속을 예방하기 위해 매 분기 전산 관리자가 주도하는 자체 PC 실사 체계를 가동해야 한다.- 공식 자가 진단 도구 도입: 한국소프트웨어저작권협회(SPC)에서 무료로 배포하는 '스마트체크(SMART Check)' 자가 진단 서비스를 활용하여 사내 PC에 설치된 모든 소프트웨어와 폰트 파일을 일제 검사한다. 이 도구는 협회의 SAM-DB와 에브리존의 터보백신 엔진을 결합하여 최신 상용 소프트웨어 정보를 빠르고 정확하게 분석한다.
- 설치 등급 및 상용 여부 분류: 스마트체크를 실행하면 PC 내 소프트웨어를 관리 중요도에 따라 L1(주요 저작권사), L2(상용 SW 포함 저작권사), L3(셰어/프리/공개 포함) 등급으로 구분해 준다. 실무자는 이를 통해 제어판 기반으로 설치된 모든 유틸리티의 기업 내 사용 가능 여부를 명확히 식별할 수 있다.
- 보유 라이선스와의 대조 검증: 스마트체크는 설치된 프로그램 리스트만 추출할 뿐 해당 설치본의 정품 인증 여부나 라이선스 증서 보유 여부까지 자동으로 검증하지 못한다. 따라서 검출된 설치 수량과 법인이 소유한 실제 라이선스 증서를 수작업으로 교차 검증하여 초과 설치된 프로그램을 반드시 색출해야 한다.
- 미승인 프로그램 강제 삭제: 자체 대조 결과 정품 라이선스 수량을 초과했거나 라이선스 규정이 변경되어 기업에서 더 이상 무료로 사용할 수 없는 프로그램(예: 이스트소프트 알집 구버전 등)은 즉시 탐지하여 삭제 조치한다.
3단계: Active Directory GPO를 통한 비인가 크랙 소프트웨어 강제 통제
임직원들의 개인적 일탈로 인한 불법 프로그램 재설치를 완벽히 예방하기 위해서는 사내 망 내에 액티브 디렉토리(AD) 환경을 구축하고 그룹 정책 개체(GPO)를 통한 강력한 중앙 통제 장치를 구현해야 한다.- 소프트웨어 제한 정책(SRP)의 수립: 도메인 컨트롤러의 그룹 정책 관리 콘솔을 열고 전용 GPO를 생성한 뒤, 컴퓨터 구성 > Windows 설정 > 보안 설정 > 소프트웨어 제한 정책 메뉴로 이동한다.
- 비인가 실행 파일 차단을 위한 경로 규칙(Path Rule) 생성: 추가 규칙을 우클릭하여 새 경로 규칙 만들기를 선택한다. 차단하고자 하는 불법 소프트웨어 실행 파일이나 크랙 실행기(Crack Executable)의 파일 경로를 등록한다. 이때 다양한 윈도우 OS 버전과 사용자 환경을 고려하여 %AppData%, %ProgramFiles%, %WinDir% 같은 환경 변수를 경로 규칙에 적극 활용하는 것이 실무적인 정석이다. 예를 들어 토렌트를 통한 불법 유출 방지를 위해 %appdata%\uTorrent\uTorrent.exe 경로를 규칙으로 등록해 작동을 무력화한다.
- 일반 사용자의 제어판 및 시스템 설정 접근 금지: 사용자가 관리자 몰래 임의로 전산 자산 관리 에이전트나 백신 프로그램을 삭제하는 것을 차단하기 위해 제어판 접근 자체를 막는 정책을 병행 수립한다. GPO 내 사용자 구성 > 정책 > 관리 템플릿 > 제어판에서 '제어판 및 PC 설정에 대한 액세스 금지' 정책을 활성화(Enabled) 상태로 지정한다.
- 정책의 즉각적인 반영 및 검증: AD 도메인 컨트롤러는 기본적으로 5분마다 그룹 정책을 업데이트하며, 클라이언트 단말은 90~120분 주기 혹은 부팅 시에 이를 반영한다. 신속한 통제를 위해 관리자는 클라이언트 컴퓨터 CMD 창에서 gpupdate /force 명령어를 강제 실행해 정책을 즉각적으로 동기화하고, gpresult /h 명령어로 보안 정책이 완벽히 적용되었는지 확인해야 한다.
실무자를 위한 유형별 라이선스 대응 및 GPO 설정 표준
소프트웨어 라이선스 관리는 저작권사의 요구 수준과 단속 주체에 따라 대응 수준이 크게 달라진다. 현업 전산 부서에서 참고하여 즉각 적용할 수 있도록 공문/단속 유형별 분류표와 차단 정책 필수 적용 가이드를 정리하였다.공문 및 단속 유형별 핵심 특징과 대응 매뉴얼
비인가 소프트웨어 차단을 위한 필수 GPO 설정 표준
지속 가능한 소프트웨어 자산 관리(SAM) 체계의 지향점
글로벌 저작권사들의 집요한 라이선스 단속과 감사는 단발성 이벤트가 아니며, 기업이 존속하는 한 언제든 발생할 수 있는 경영상의 고정 리스크다. 공문을 받은 후에야 허둥지둥 수천만 원 상당의 고가 라이선스를 예산 계획 없이 추가 지출하는 임기응변식 관리는 기업의 자금 흐름에 엄청난 손실을 가져온다.진정한 전산 관리의 전문성은 매 분기마다 SPC 스마트체크와 같은 신뢰할 수 있는 도구를 통해 사내 IT 자산의 실제 설치량과 구매 수량을 완벽히 일치시키고, AD GPO와 같은 하부 인프라 제어 기술을 통해 비인가 프로그램의 설치 시도 자체를 무력화하는 예방 중심의 시스템 구축에서 비롯된다. 전산 실무를 전담하면서 정립한 이 정기적인 자산 감사와 강력한 기술 통제 루틴이야말로 기습적인 단속 상황 속에서도 회사 법인과 임직원을 법적 책임으로부터 보호하는 가장 든든한 방패가 될 것이다.