직장에서 불법적인 일을 요구받으면? 이 소프트웨어 엔지니어들은 이렇게 대처함

 (blog.pragmaticengineer.com)
1P by GN⁺ 9일전 | ★ favorite | 댓글 1개
  • 불법 행위를 요구받는 상황에서 소프트웨어 엔지니어들이 실제로 겪은 세 가지 사례를 소개함
  • FTX에서는 프러드를 인지한 후에도 회사를 떠나지 않은 엔지니어가 법적 책임을 지게 되었음
  • Frank 사례에서는 실제 데이터 조작 요청을 받은 엔지니어가 이를 거부해 책임을 피함
  • Pollen에서는 CEO의 요청에 따라 고객들에게 중복 결제를 실행한 엔지니어가 이후 문제에 직면함
  • 이 세 사례에서 불법 요청을 명확히 거부하는 것이 최선의 대응임을 강조함

서론: 소프트웨어 엔지니어와 불법 요구의 현실

  • 최근 여러 사례에서 회사의 불법 행위에 연루될 뻔한 소프트웨어 엔지니어들의 경험이 드러남
  • 불법 행위를 도울 것을 요구받았을 때 엔지니어가 어떤 선택을 할 수 있으며, 이에 따라 결과가 크게 달라짐
  • 실제 사건 중심으로, 불법 요청에 대한 올바른 대처방식에 관한 교훈 전파 목적임

FTX: 불법을 알면서도 회사에 남은 엔지니어링 디렉터

  • FTX 사태에서 엔지니어 Nishad Singh는 2022년 9월경 Alameda Research가 고객 자금을 대규모로 유용했다는 사실을 인지함
  • Singh는 이 사실을 인정받은 뒤, 퇴사나 내부고발, 법률 자문 등을 선택할 수 있었음
  • 그러나 그는 회사에 남아 ‘문제를 해결하려’ 시도했고, 이후 3,700,000달러 대출을 받아 주택까지 구입
  • 결과적으로, Singh는 사기 가담으로 최대 75년형의 위험에 처했으나, 2025년 판결에서 그 책임이 제한적임이 인정되어 실형 없이 3년간 감독 하에 석방
  • 이 사건의 교훈은 불법 행위를 알게 된 즉시 회사를 떠나거나, 내부고발 혹은 법률적 조언을 구해야 함

Frank: 데이터 조작 요청을 거부한 소프트웨어 엔지니어

  • Frank는 2016년 설립된 학생 대출 스타트업으로, 2021년 JP Morgan에 1억 7,500만 달러에 인수됨
  • 인수 과정에서 실제 293,000명의 고객 데이터밖에 없던 회사가, 420만 명 분량의 가짜 데이터 생성을 엔지니어에게 요청
  • CEO Charlie Javice와 경영진은 “감옥에 갈 일 없을 것”이라며 합리화 시도를 했으나, 엔지니어는 이를 거부하고 실제 데이터만 제출함
  • 그 결과 불법 행위에 공모하지 않은 엔지니어는 법적 책임에서 벗어날 수 있었음
  • 이후 CEO Javice는 1억 7,500만 달러 사기로 7년형을 선고받았음

Pollen: CEO의 요청으로 고객 중복 결제를 실행한 엔지니어

  • Pollen은 이벤트 테크 스타트업으로, 2억 달러를 투자받은 이후 3,200,000달러에 달하는 고객 자금을 사고로 빼앗았다고 설명함
  • BBC 다큐멘터리 조사 결과, 이중 결제는 CEO의 직접적인 요청에 의해 엔지니어가 코드 변경으로 수행된 사실이 드러남
  • 내부 메시지에서 엔지니어는 “CEO의 요청으로 잘못된 스크립트를 실행했다”라며 후회와 잘못된 판단을 인정함
  • 이 내용은 법적 처리 결과가 아직 정해지지 않았으나, 불법성 가능성이 높은 상황에 놓임
  • 교훈은 CEO 등 고위 임원의 불법 요청도 기록을 남기고, 거부하는 것이 법적 안전에 최선임

결론 및 교훈

  • 세 사례 모두에서, 불법 요청을 받은 엔지니어의 선택이 향후 법적·윤리적 책임에 결정적 영향을 줌
  • 유일하게 안전했던 사례는 Frank에서 엔지니어가 즉시 명확하게 거부한 경우였음
  • FTX, Pollen에서는 회사의 요구에 수동적으로 따를 경우 심각한 결과에 직면함
  • 결국 “누구든 불법 요청에는 언제나 ‘아니오’라고 말할 수 있다”라는 점이 가장 핵심적인 교훈임
GN⁺ 9일전  [-]
Hacker News 의견

  • 2010년에 WellPoint가 유방암 환자 보험 계약을 자동으로 취소하는 코드를 사용했던 사실을 알게 되었음, 당시 CEO는 Angela Braly였고, 현재는 ExxonMobile에 있음, WellPoint는 그 당시 미국 내 두 번째로 큰 보험사였음, 이 시스템 구축에 상당한 비즈니스 분석과 소프트웨어 개발이 필요했고, 내부에서 이 코드의 목적을 이해하는 사람들이 있었을 것임, 이런 "절감"으로 보너스를 받았을 것으로 추정함

    • 최소한 이 일에 관련된 사람들의 이름이 이 만행에 영구적으로 남아야 한다고 생각함, 이런 결정은 "회사"라는 익명 집단이 아닌, 실제로 유방암 환자를 표적으로 삼는 결정을 내린 개인들이 있었음, 당시 CIO였던 Lori A. Beer는 현재 JP Morgan에 있음
    • 2010년대에 나도 비슷한 경험이 있었지만 불법은 아니었음, 나는 대규모 의약품 유통사에서 일했는데, 오피오이드 유행 전후로 그랬음, 그때는 법적으로 이상 주문을 DEA에 알릴 의무가 없어, 압수수색 영장이 없으면 데이터도 제공하지 않았음, 수익 극대화를 위해 오피오이드 주요 고객을 선정하고 재고 시스템을 업데이트해 더 빨리 더 많이 사도록 리베이트와 알림을 보냈음, 영업팀도 보너스를 쉽게 산정할 수 있도록 각 공급자에 세일즈 담당자를 맵핑해두었음, 우리는 소프트웨어 엔지니어들이었지만, 이런 프로그램으로 가장 많이 돈을 번 건 구매 비율로 받는 영업팀이었음

  • 정부 대규모 프로젝트에서 일할 때였는데, 연말에 시간 넘기기식 허위 청구를 할 수 없고, 이건 불법이라 위험하다고 처음부터 강조했음, 그런데 동료는 내 이름으로 타임시트에 허위 시간을 기입하는 걸 알게 되었음, 변호사에게 상담 후 GAO 신고를 권유받았으나 결국 교수 담당자에게만 보고하고 퇴사 결정을 내렸음, 내가 미리 신고하지 않았다면 나에게 책임이 전가될 수도 있었기에 매우 스트레스 받았음, 결국 담당 교수는 이 사안을 그냥 묻어버린 듯함

    • 변호사와 주고받은 기록이 있다면, 담당자에게 보고만 하고 계속 정상적으로 근무하면 됨, 본인이 추가 금액을 받아간 게 아니라면 감사나 조사에서는 딱히 신경 쓰지도 않음

  • 내 경험상 대기업은 잘못된 행동의 증거를 숨기는 데 매우 능숙하고, 고위 임원 보호에 온 힘을 씀, 결국 주가는 중요하고, 내막이 드러나면 임원이 "더 나은 기회"로 퇴사할 뿐, 정직한 엔지니어만 스트레스를 떠안고 임원은 다음 단계로 날아감, 뒤돌아보면 사내 신고 지침이나 사내 변호사와의 상담은 소용없음, 그들은 무능하거나, 유능해도 회사 보호에 급급함, 차라리 바로 규제기관에 상세보고서를 제출하는 것이 나음

    • 나라에 따라 다름, 헝가리에서는 총리가족에게 돈을 바치지 않고는 대기업 운영이 불가능함, 나도 단순 개발자로 다국적 기업에서 EU 자금 빼돌리기용 서류에 서명한 적 있음, 너무 순진해서 진짜 프로젝트라고 믿었는데 아니었음, 늦게서야 동료들이 왜 반대했는지 알게 되었음

  • "항상 거절할 수 있다"라는 교훈은 현실적으로, 거절하는 사람에게 경영진이 보복 조치를 취할 가능성을 무시한 얘기임, 시간이 지나면 보복보다 감옥가는 위험이 더 크다는 걸 알게 되지만, 그 순간에는 "아니오"라고 말할 용기가 쉽지 않음

    • 언제든지, 절대적으로 "아니오"라고 말할 수 있음, 그들이 주는 당근(돈)은 왔다가도 가는 것, 그들의 채찍(돈)도 걱정할 수준은 아님
    • 내 생각에는 상사가 불법을 지시하면 직장을 잃는 상황이라도 윤리적 책임과 도덕적 책임이 있음, 법은 법이고 예외는 없음, 상사도 책임이 있지만 본인이 불법에 동조하면 역시 책임이 있다고 생각함, 단, 생명의 위협, 협박 등 강제상황이라면 얘기는 다름, 힘든 일이고 완벽한 윤리관을 지키기 어려운 상황도 이해하지만, 시민으로서 법을 어기지 않는 것이 기본 의무임
    • 해고, 괴롭힘, 비전 없는 부서전출 등 보복조치는 젊은 엔지니어에겐 무섭게 느껴지지만, 합리적으로 보면 크게 강력하지 않음(단, 많은 경영진은 결코 합리적이지 않음), 해고는 기업에 비용이 크고, 오히려 해고 후에는 당사자가 정부에 내용 전체를 신고할 가능성이 높아짐, 내부적으로 불법이 아닌 대안도 법무팀이나 회계팀이 잘 찾아줌, 실제 보복이 아니라 "보복할 수 있다"는 분위기가 더 강력하게 작동함(물론 이는 보복이 불법이고 법적으로 문제 삼을 수 있는 국가에 해당함)
    • 이런 보복 자체도 또 다른 불법행위임
    • 그래서 내부고발자 보호법이 훨씬 더 강력해질 필요가 있다고 생각함(예: 보복 시 내부고발이 잘못이어도 자동 감옥행 등), 보상도 커져야 함

  • 내 팀의 R&D 세금 크레딧 신청을 승인해달라는 요청을 받았는데, 검토 후 거절했음, 그 뒤 회계사와 미팅 때 CEO의 말을 근거로 했다는 걸 알게 되고, 세부 내용을 함께 검토했더니 대부분 내 의견에 동의함, 그러다 알게 된 점은, 세금 크레딧이 "R&D"라고 표기되어도, 법적 정의상 일반 개발업무까지 적용 안된다는 것임, 앞선 건 불법 의도가 있었던 건 아니지만, 원래대로라면 탈세로 간주될 수 있는 부분이 있었음, 이런 상황에서는 항상 회사로 하여금 전문가와 직접 연결시켜달라고 요청해서 나와 회사 모두 법적 보호를 받을 수 있게 하는 게 원칙임, 진실을 말하면 문제없음

  • 소프트웨어 개발자도 다른 직업처럼 윤리강령에 사인하고, 비윤리적 요구를 받으면 강령을 근거로 거부해야 한다고 생각함, 이는 불법은 아니지만 부도덕하거나 불쾌한 의사결정(예: 프라이버시의 기본값을 공개/공개로 두는 것)에 효과적임, IEEE나 ACM 같은 공식기관의 강령을 인용하면 보복 억제에도 도움됨

    • 우리는 Agile Manifesto 하나 지키는 것도 쉽지 않음
    • 의사들의 히포크라테스 선서처럼, 의무는 없어도 충분히 역할을 하기 때문에, 개발자용 서약도 ACM이나 IEEE가 만들 수 있다고 생각함
    • 예를 들어 A) 개발자가 자유롭게 윤리강령에 서명할 수 있어야 한다는 뜻인지, B) 서명을 강제로 요구하고 미서명자의 취업을 막아야 한다는 뜻인지, C) 혹은 그 외의 취지인지 궁금함
    • ACM에도 윤리강령이 있지만, 실제로 이걸 상습적으로 어기는 회사들에 대한 집행이 거의 없는 듯함
    • 이런 선언적 강령만으로는 부족함, 집행력과 내부고발자 보호가 필수임

  • 나중에 보면 명백해 보이지만, 당시에는 어떤 행동이 옳은지 판단하기 쉽지 않다고 생각함, 과잉반응이라는 감정, 상황을 합리화해주는 설명, 일자리 상실 위협 등 여러 요인으로 용기 내기가 힘듦, 명확히 흑백 논리로 구분되는 범죄라면 거절이 쉽겠지만, 현실은 항상 애매한 회색지대임, 무지 역시 책임을 면할 수 없기에 각자 행동에 책임을 져야 한다고 봄, 그래도 이런 상황 자체에 놓이지 않기를 바람

    • "흑백 논리로 딱 떨어지는 문제는 없다"는 말에는 동의하기 어렵음, 세 가지 사례는 매우 명확한 흑백 문제임
    • 가족 생계를 책임지거나, 보험·비자 문제로 회사에 종속된 상황이라면, 불안정한 조건에서 불법/비윤리적 요구를 거부하기 힘들 것임, 그래서 기업들이 직원 통제와 착취에 다양한 수단을 쓰는 것임

  • 20년간 개발자로 일하면서, 대부분은 연간 단기계약을 하며 여러 회사를 다녔으나, 한 번도 불법행위를 지시받은 적 없음, 즉 이런 경험은 매우 드문 일임, 만약 누군가가 불법을 요구받았다면 즉시 회사를 떠나야 한다고 봄, 이런 회사는 비정상적이고 절박한 상태라 앞으로 더 악화될 가능성이 높기 때문임, 절대 정상적인 일이 아님, 무조건 빨리 떠나야 함

    • 비윤리적이거나 도덕적으로 애매한 행동, 품격 없는 행동, 비전문적, 우회행위 등은 어느 회사에나 널려 있고 당시에는 몰라도 뒤늦게 걸릴 수 있음, 그러나 진짜 불법은 그때 뭔가 다르게 느껴짐, 법적 지식이 부족해도 이상한 기운이 돌고, 주변 분위기·동료 행동·불안감 등으로 직감적으로 감지됨

  • 나는 2020년 NS8에서 4개월 근무하다가 회사가 붕괴되고, CEO가 1억2300만 달러 투자사기를 저지른 혐의로 체포되는 사태를 겪음, 회사 해고 소송으로 최근 소액 보상금을 받기는 했지만, 코로나 한복판에서 일자리를 잃는 것은 극심한 스트레스였음

  • 나는 "절대 나쁜 짓/불법을 하지 않는다"는 신념이 확고함, 하지만 두 가지는 잘 안 이야기됨, 하나는 본격적 내부고발까지 가지 않아도 개인이 부담해야 하는 비용이 매우 높을 수 있다는 점임, 그나마 좋은 경우도 결국 구직의 압박으로 이어지는데, 누구나 대체 옵션과 재정적 안전망이 있는 건 아니라는 것임, 또 정신적 소진도 심각함, 나는 한 번 이런 상황을 바로잡으려 하다 거의 번아웃이 왔고, 결국 멀리서 프로젝트가 엉망되는 걸 지켜봤음, 지인이 별 실수도 없이 조직 내 문제를 밝히다 큰 상처를 받은 경우도 봤음, 관리자들도 종종 문제에 직접 연루되기보단 체계적으로 옭아매여 직접 해결할 권한도 없을 때가 많음, 두 번째는, 모든 걸 바치고 완전히 싸움에 나서지 않는 이상, 결국 나 자신을 보호하는 정도가 최대치임, 그래도 원칙을 지켰다는 사실에 잠은 잘 수 있지만, 직접 정의를 바로 세우지 못해 늘 아쉬움이 남음

    • 누구나 쉬운 대안이 있는 것은 아니니, 만일을 대비해 언제든 퇴사할 수 있게 충분한 비상자금을 마련할 것을 추천함, 주식 대신 현금을 선택하고 계약도 황금족쇄가 되지 않게 하라는 조언임, 이는 윤리 유지뿐 아니라 각종 협상에도 유리하게 작용함, BATNA(최선의 대안)라는 협상 개념을 참고하면 도움됨 자료 링크.
답변달기