IT 관리 실무 지식 창고

소프트웨어 라이선스 감사 대응: 분기별 자체 점검 프로세스 및 AD 기반 기술 통제 가이드

| Keeper
컴퓨터 화면에 'COMPLIANT(준수)' 상태가 표시된 IT 자산 관리 대시보드가 떠 있는 노트북이 놓인 사무실 책상. 소프트웨어 라이선스 감사 대응 및 기술 통제를 위한 전산 관리 실무 가이드 썸네일 이미지 (it.mgr-note.com)

"현업 전산 관리자가 마주하는 소프트웨어 라이선스의 현실"

기업의 전산 부서와 보안 실무를 책임지는 관리자들에게 매년 찾아오는 가장 곤혹스러운 순간은 단연 오토데스크(Autodesk)나 다쏘시스템(Dassault Systèmes) 같은 대형 소프트웨어 저작권사 또는 이들의 권한을 위임받은 법무법인으로부터 날아오는 저작권 공문과 기습 단속이다. 현업에서 직접 기업의 IT 자산을 관리해보니, 사내 임직원 중 단 한 명이라도 편의를 위해 무심코 설치한 크랙 프로그램이나 라이선스 규정을 위반한 무료 유틸리티는 기업 전체를 심각한 법적 분쟁과 수억 원대의 합의금 요구라는 수렁으로 몰고 가는 트리거가 된다.

사후약방문식으로 수천만 원에 달하는 벌금이나 합의금을 지불하며 사태를 수습하기 전에, 분기별 자체 감사 프로세스를 정립하고 기술적 통제 루틴을 상시 가동하는 것만이 기업의 전산 인프라와 재무 안전성을 지키는 유일한 해결책이다. 실무진이 매 분기마다 수행해야 할 라이선스 자체 감사 프로세스와 저작권 공문 수신 시의 올바른 대응법, 그리고 액티브 디렉토리(Active Directory) 환경에서의 강제 기술 통제 루틴을 상세히 공유하고자 한다.

저작권 공문의 발송 메커니즘과 무대응의 파국

많은 중소기업과 스타트업의 전산 담당자들이 "우리처럼 규모가 작은 회사까지 단속하겠느냐"라는 안일한 판단으로 초기 경고를 무시하곤 한다. 그러나 저작권사들이 공문을 발송하고 감사를 개시하는 기준은 매우 정교하고 다각적이다.

실무적으로 분석한 저작권 공문 발송의 주요 트리거는 다음과 같다.
  • 사내 네트워크 내부에서 크랙 소프트웨어가 외부 불법 인증 서버와 통신을 시도하다 저작권사의 모니터링 시스템에 IP 주소가 수집 및 탐지되는 경우.
  • 기업이 영위하는 업종 특성상 캐드(CAD)나 그래픽 툴을 필수적으로 사용해야 하는 업종임에도 불구하고, 라이선스 구매 이력이 전혀 없거나 극히 저조한 경우.
  • 채용 정보 사이트에 특정 소프트웨어(예: CATIA, AutoCAD 등) 능통자 우대 요건이 포함된 구인 공고를 지속적으로 게재하는 경우.
  • 전·현직 임직원의 내부 고발 및 외부 제보가 접수되는 경우.
이러한 명확한 정황을 기반으로 발송된 내용증명이나 감사 협조 요청을 무작정 무시하거나 파기하는 대응은 상황을 극도로 악화시킨다. 협의가 정상적으로 이루어지지 않고 저작권법 위반 혐의가 입증될 경우, 저작권법 제124조 및 제136조에 의거하여 침해 행위자는 3년 이하의 징역 또는 3천만 원에서 최대 5천만 원 이하의 벌금형에 처해질 수 있다. 뿐만 아니라 법인 역시 양벌규정에 따라 동일한 수준의 벌금형과 막대한 민사상 손해배상 청구 소송에 직면하게 되므로, 공문을 수령한 시점부터 철저한 전략적 대응이 요구된다.

단속 리스크를 제로로 만드는 3단계 감사 및 통제 프로세스

사내 불법 소프트웨어 오남용을 원천 차단하고 저작권사의 기습 단속에서 법적 면책권을 확보하기 위해 실무자가 반드시 이행해야 할 3단계 제어 프로세스는 다음과 같다.

1단계: 저작권 공문 수신 시의 실무적 긴급 대응 프로토콜

갑작스럽게 내용증명을 받았다면 당황하여 성급하게 잘못을 시인하거나 반대로 무작정 발뺌하는 극단적인 조치는 지양해야 한다.
  1. 발송 주체 및 권한 확인: 가장 먼저 공문을 보낸 곳이 저작권사 본사인지, 혹은 정식으로 권한을 위임받은 법적 대리인 법무법인(예: 법무법인 선인, 다온 등)이 맞는지 꼼꼼하게 검증한다. 권한이 불분명한 중간 판매 대리점(리셀러)에서 실적 올리기용으로 보낸 단순 영업성 공문인지 구별하는 것이 급선무다.
  2. 공문 유형 분류 및 분석: 수신한 문서가 단순 정품 구매를 독려하는 '일반 공문'인지, 라이선스 계약서(EULA)상의 감사 조항에 의거한 '감사 공문'인지 가려내야 한다. 일반 공문은 현장 실사를 동반하지 않으므로 자체 점검 후 정품 구매를 조율하면 되지만, 공식 감사 공문은 실제 실사 일정이 수반되므로 완벽한 대비가 필요하다.
  3. 사내 자체 전수조사 실시: 저작권사 측에 서면 답변을 회신하기 전, 사내 전체 PC의 실제 설치 현황을 전수조사하고 법인이 보유 중인 정품 라이선스 증서 및 세금계산서와 대조하여 실제 불일치(Shortage) 수량을 명확히 산출한다.
  4. 합리적인 합의 및 구매 협상 유도: 다쏘시스템(CATIA) 등 일부 외산 저작권사는 단 한 대의 불법 복제본 사용이 적발되더라도 실제 사용하지 않는 고가의 상위 패키지(Full Module) 구매와 과도한 합의금을 동시에 요구한다. 이 경우 무조건 요구에 응하기보다 실제 프로그램의 사용 기간, 설치 대수, 영리 목적성 부재 등을 객관적으로 소명하고 저작권법 및 판례를 바탕으로 통상적인 라이선스 가격 수준으로 손해배상액을 낮추는 방어적 협상을 진행해야 한다.

2단계: 스마트체크(SMART Check)를 활용한 분기별 사내 PC 자체 실사

평소 기습 단속을 예방하기 위해 매 분기 전산 관리자가 주도하는 자체 PC 실사 체계를 가동해야 한다.
  1. 공식 자가 진단 도구 도입: 한국소프트웨어저작권협회(SPC)에서 무료로 배포하는 '스마트체크(SMART Check)' 자가 진단 서비스를 활용하여 사내 PC에 설치된 모든 소프트웨어와 폰트 파일을 일제 검사한다. 이 도구는 협회의 SAM-DB와 에브리존의 터보백신 엔진을 결합하여 최신 상용 소프트웨어 정보를 빠르고 정확하게 분석한다.
  2. 설치 등급 및 상용 여부 분류: 스마트체크를 실행하면 PC 내 소프트웨어를 관리 중요도에 따라 L1(주요 저작권사), L2(상용 SW 포함 저작권사), L3(셰어/프리/공개 포함) 등급으로 구분해 준다. 실무자는 이를 통해 제어판 기반으로 설치된 모든 유틸리티의 기업 내 사용 가능 여부를 명확히 식별할 수 있다.
  3. 보유 라이선스와의 대조 검증: 스마트체크는 설치된 프로그램 리스트만 추출할 뿐 해당 설치본의 정품 인증 여부나 라이선스 증서 보유 여부까지 자동으로 검증하지 못한다. 따라서 검출된 설치 수량과 법인이 소유한 실제 라이선스 증서를 수작업으로 교차 검증하여 초과 설치된 프로그램을 반드시 색출해야 한다.
  4. 미승인 프로그램 강제 삭제: 자체 대조 결과 정품 라이선스 수량을 초과했거나 라이선스 규정이 변경되어 기업에서 더 이상 무료로 사용할 수 없는 프로그램(예: 이스트소프트 알집 구버전 등)은 즉시 탐지하여 삭제 조치한다.

3단계: Active Directory GPO를 통한 비인가 크랙 소프트웨어 강제 통제

임직원들의 개인적 일탈로 인한 불법 프로그램 재설치를 완벽히 예방하기 위해서는 사내 망 내에 액티브 디렉토리(AD) 환경을 구축하고 그룹 정책 개체(GPO)를 통한 강력한 중앙 통제 장치를 구현해야 한다.
  1. 소프트웨어 제한 정책(SRP)의 수립: 도메인 컨트롤러의 그룹 정책 관리 콘솔을 열고 전용 GPO를 생성한 뒤, 컴퓨터 구성 > Windows 설정 > 보안 설정 > 소프트웨어 제한 정책 메뉴로 이동한다.
  2. 비인가 실행 파일 차단을 위한 경로 규칙(Path Rule) 생성: 추가 규칙을 우클릭하여 새 경로 규칙 만들기를 선택한다. 차단하고자 하는 불법 소프트웨어 실행 파일이나 크랙 실행기(Crack Executable)의 파일 경로를 등록한다. 이때 다양한 윈도우 OS 버전과 사용자 환경을 고려하여 %AppData%, %ProgramFiles%, %WinDir% 같은 환경 변수를 경로 규칙에 적극 활용하는 것이 실무적인 정석이다. 예를 들어 토렌트를 통한 불법 유출 방지를 위해 %appdata%\uTorrent\uTorrent.exe 경로를 규칙으로 등록해 작동을 무력화한다.
  3. 일반 사용자의 제어판 및 시스템 설정 접근 금지: 사용자가 관리자 몰래 임의로 전산 자산 관리 에이전트나 백신 프로그램을 삭제하는 것을 차단하기 위해 제어판 접근 자체를 막는 정책을 병행 수립한다. GPO 내 사용자 구성 > 정책 > 관리 템플릿 > 제어판에서 '제어판 및 PC 설정에 대한 액세스 금지' 정책을 활성화(Enabled) 상태로 지정한다.
  4. 정책의 즉각적인 반영 및 검증: AD 도메인 컨트롤러는 기본적으로 5분마다 그룹 정책을 업데이트하며, 클라이언트 단말은 90~120분 주기 혹은 부팅 시에 이를 반영한다. 신속한 통제를 위해 관리자는 클라이언트 컴퓨터 CMD 창에서 gpupdate /force 명령어를 강제 실행해 정책을 즉각적으로 동기화하고, gpresult /h 명령어로 보안 정책이 완벽히 적용되었는지 확인해야 한다.

실무자를 위한 유형별 라이선스 대응 및 GPO 설정 표준

소프트웨어 라이선스 관리는 저작권사의 요구 수준과 단속 주체에 따라 대응 수준이 크게 달라진다. 현업 전산 부서에서 참고하여 즉각 적용할 수 있도록 공문/단속 유형별 분류표와 차단 정책 필수 적용 가이드를 정리하였다.

공문 및 단속 유형별 핵심 특징과 대응 매뉴얼

분류 법적 강제력 여부 현장 실사 동반 여부 주요 특징 및 실무자 관점의 대응 팁
일반 공문
(구매 권고)
없음 (민사상 단순 통지) 없음 (서면 협조만 요구) 저작권 침해 의심 단말 수량을 토대로 정품 구매를 유도하는 경고 메시지이다. 무작정 방치하면 감사 공문이나 민사 소송으로 발전하므로, 자체 검사 후 미보유 수량을 파악해 패키지 구매 협상을 타협해야 한다.
감사 공문 (정식 라이선스 감사) 있음 (제품 계약서 EULA 근거) 있음 (본사 지정 대리인 방문) 사용권 계약서상의 감사 동의 조항을 근거로 실행되므로 방문을 전면 거부하기 어렵다. 사전에 보유 정품 패키지 및 세금계산서를 완전히 구비하고, 비인가 설치 프로그램을 찾아내 완벽하게 제거한 뒤 실사에 임해야 한다.
사법 단속
(수색영장 집행)
매우 강력함 (형사소송법상 강제 처분) 있음 (검·경찰 및 특사경 기습 방문) 수색영장을 지참해 회사 내 모든 PC의 자산을 조사하므로 조사 거부 시 공무집행방해 등으로 처벌받는다. 영장에 기재된 압수수색 대상을 꼼꼼히 대조하고, 단속 과정에서 과도하게 청구되는 합의금에 대해 법무법인의 조력을 받아 대응한다.

비인가 소프트웨어 차단을 위한 필수 GPO 설정 표준

통제 대상 프로그램 GPO 적용 경로 규칙 (Path Rule) 예시 보안 적용 수준
(Security Level)
통제 정책 도입 효과 및 목적
불법 유무선 P2P (uTorrent) %AppData%\uTorrent\uTorrent.exe 허용 안 함
(Disallowed)
오토캐드 불법 정품 인증 우회 툴(X-Force 등)의 로컬 단말 실행을 원천 금지
비인가 상용 CAD 크랙 (AutoCAD Crack) %ProgramFiles%\AutoCAD*\xf-*.exe 허용 안 함
(Disallowed)
사용권 계약서상의 감사 동의 조항을 근거로 실행되므로 방문을 전면 거부하기 어렵다. 사전에 보유 정품 패키지 및 세금계산서를 완전히 구비하고, 비인가 설치 프로그램을 찾아내 완벽하게 제거한 뒤 실사에 임해야 한다.
기업 라이선스 위반 유틸리티 %ProgramFiles%\ALTools\ALZip\ALZip.exe 허용 안 함
(Disallowed)
라이선스 정책 변경으로 기업 내 무단 사용 시 불법이 되는 유틸리티의 구동 방지

지속 가능한 소프트웨어 자산 관리(SAM) 체계의 지향점

글로벌 저작권사들의 집요한 라이선스 단속과 감사는 단발성 이벤트가 아니며, 기업이 존속하는 한 언제든 발생할 수 있는 경영상의 고정 리스크다. 공문을 받은 후에야 허둥지둥 수천만 원 상당의 고가 라이선스를 예산 계획 없이 추가 지출하는 임기응변식 관리는 기업의 자금 흐름에 엄청난 손실을 가져온다.

진정한 전산 관리의 전문성은 매 분기마다 SPC 스마트체크와 같은 신뢰할 수 있는 도구를 통해 사내 IT 자산의 실제 설치량과 구매 수량을 완벽히 일치시키고, AD GPO와 같은 하부 인프라 제어 기술을 통해 비인가 프로그램의 설치 시도 자체를 무력화하는 예방 중심의 시스템 구축에서 비롯된다. 전산 실무를 전담하면서 정립한 이 정기적인 자산 감사와 강력한 기술 통제 루틴이야말로 기습적인 단속 상황 속에서도 회사 법인과 임직원을 법적 책임으로부터 보호하는 가장 든든한 방패가 될 것이다.

자주 묻는 질문 (FAQ)

Q. 저작권 대리인 법무법인에서 날아온 정품 구매 요구 일반 공문을 완전히 무시하면 어떻게 되나요?

A. 단순히 합의 유도를 목적으로 발송되는 일반 공문 자체는 즉각적인 사법 조치를 수반하는 법적 효력이 없습니다. 그러나 합당한 근거 제시 없이 회신을 무기한 거부하거나 무시로 일관할 경우, 저작권사는 고의적인 권리 침해 기업으로 판단하여 정식 고소를 준비합니다. 이 경우 법원은 검찰이나 경찰을 통해 수색영장을 발부하게 되며, 결국 사법기관이 동행하는 기습적인 합동 단속으로 이어져 합의금 외에 형사 벌금까지 부담하는 최악의 결과를 초래할 수 있습니다.

Q. SPC 스마트체크 점검에서 검출되지 않은 소프트웨어는 불법 복제 단속에서도 100% 안전한가요?

A. 그렇지 않습니다. 스마트체크는 한국소프트웨어저작권협회가 보유한 자가 진단 데이터베이스(SAM-DB)에 등록된 프로그램을 기준으로 설치 유무를 탐지합니다. 따라서 DB에 등록되지 않은 특수 설계 프로그램이나 해외 초고가 전문 소프트웨어의 경우, 스마트체크에서 정상적으로 검출되지 않을 가능성이 있습니다. 실무적으로 완벽한 안전을 확보하기 위해서는 스마트체크 결과에만 전적으로 의존하지 말고, Windows 레지스트리 및 %ProgramFiles% 폴더 하위를 정기적으로 수동 교차 검증하는 루틴을 병행해야 합니다.

Q. 사내 직원이 회사 승인 없이 개인용 노트북이나 개인 계정으로 크랙을 사용하다 걸린 경우도 회사가 책임져야 하나요?

A. 그렇습니다. 저작권법상의 양벌규정에 따라, 직원이 회사의 업무 수행 과정에서 불법 복제 소프트웨어를 사용했다면 이를 지시하지 않은 법인 대표자와 회사 자체도 관리 감독의 책임을 물어 처벌을 받습니다. 법무팀이나 전산실에서 평소 사내 규정에 불법 소프트웨어 사용 금지 서약서를 의무적으로 포함하고, 분기별 PC 실사 및 AD GPO 차단 정책과 같은 '실질적이고 기술적인 예방 행위'를 지속적으로 이행했다는 서면 증적을 평소에 남겨두어야만 양벌규정에 따른 기업의 연대 책임 법적 면책을 인정받을 수 있습니다.

Q. 다쏘시스템(CATIA) 등에서 불법 사용을 근거로 실제 보유 라이선스 대비 과도한 풀 모듈 단가 구매와 합의금을 요구할 때 법적 방어 요령은 무엇인가요?

A. 저작권 침해로 인한 손해배상 청구 시, 저작권법 제125조 제2항은 '권리의 행사로 통상 받을 수 있는 금액'을 손해액의 기준으로 산정하도록 정하고 있습니다. 대법원 판례 또한 실제 침해 행위가 발생하지 않은 기능이나 사용하지도 않은 불필요한 초고가 풀 모듈 전체의 단가를 배상액으로 인정하지 않습니다. 따라서 저작권사의 요구를 그대로 받아들이기보다는 실제 불법 설치된 구체적인 모듈의 종류, 실행 횟수, 파일 보관 내역, 비영리 목적 여부 등을 조밀하게 소명하고, 전문가 및 법률 대리인의 도움을 받아 통상적인 단품 라이선스 가격 수준으로 손해액 산정을 낮추도록 대응하는 것이 실무적으로 현명합니다.