그들이 읽지 말았어야 할 이메일

 (it-notes.dragas.net)
1P by GN⁺ 5일전 | ★ favorite | 댓글 1개
  • 공급업체 고착(Vendor lock-in) 과 공격적인 상업 관행의 위험성에 대한 실화를 바탕으로 한 이야기임
  • 공공 기관들이 메일 시스템을 오픈 소스 기반으로 이전하려다 공급업체의 불공정 계약과 감시 의혹에 직면함
  • 계약서 내 숨은 조항과 일방적 개정으로 고객의 자유로운 이탈이 차단되고 관리 비용이 급증함
  • 감시 및 이메일 열람 정황이 실제로 드러난 상황에서도, 조직은 법적·윤리적 대응보다는 비용 상승에만 관심을 보임
  • 오픈 소스 정신을 내세우는 기업조차 악용 사례가 발생, 업계 전체에 신뢰 손상과 부정적 이미지만 남게 됨

저자 서문

  • 본 이야기는 실제 경험을 바탕으로 하였으나, 개인과 기업의 신원 보호를 위해 기술과 세부 정보, 맥락 일부가 수정·혼합되어 있음
  • 공급업체 고착공격적인 비즈니스 관행이라는 IT 업계의 만연한 문제를 다루기 위한 전형적 사례로 읽기를 권장

경과 – 새로운 메일 시스템 도입

  • 몇 년 전, 주요 공공 기관(Agency A)이 노후 Exchange 메일 서버를 사용 중이었음
  • 보안 업데이트가 오래전부터 이뤄지지 않아 노출 위험이 컸고, 오픈 소스 도입 권고 규정이 등장함
  • 한 외주업체가 오픈 소스 메일 스택 기반의 관리형 서비스를 자체 확장 및 엔터프라이즈 지원과 함께 제공하는 제안을 함
  • 시장에서 흔히 볼 수 있는 비슷한 가격 수준이었지만, 실제 제공 서비스 대비 가격이 과도하게 높았음
  • Agency A는 이미 신뢰할 수 있는 인프라(다중 데이터센터, 견고한 IP 대역 등) 를 보유하고 있었음
  • 기관 요청은 "이 솔루션을 평가해서 적합하다면 이전"하는 것이었음 (대상: 약 500 개 메일박스 및 별칭)

파일럿 도입과 성공적 이전

  • 저자는 해당 오픈 소스 스택을 비(非)핵심 환경과 일부 테스트 고객에게 할인 가격으로 적용, 1년간 문제 없이 검증함
  • 디자인 유연성에 만족감을 갖고, Agency A에 파일럿 마이그레이션을 권고함
  • 새로운 서버 구축, 조기 참여자 대상으로 도메인 구성 후 점진적 이전 시행
  • MX 레코드 전환 이후 문제 없이 안착에 성공, 조직 내부 팀도 주요 이슈 없이 운영 유지함

소문 확산과 두 번째 기관

  • Agency B가 동일한 관리형 서비스 제공업체의 기존 고객임
  • 전체 비용 1/10로 절감, 데이터 자율성 확보, 안정성 증가 등의 이점을 보고 마이그레이션에 관심을 보임
  • 그러나 5년 자동 연장 계약에 2년이 남아 있었고, 6개월 사전 통보 조항으로 일정 여유 확보함
  • 해당 업체의 공격적인 영업 방침과 보복 우려로 극비로 준비를 진행함
  • 계정·별칭 구성 및 테스트셋 완성 후, 계약 해지 통보 시점에 맞춰 실제 마이그레이션을 계획함

세 번째 기관의 등장과 불길한 예감

  • Agency C 또한 같은 공급업체 이용 중이었고, 동일한 오픈 소스 스택으로 이전 의지를 보임
  • 저자가 별도의 견적을 Agency C에 제출하였으나, Agency B와의 관련성은 언급하지 않음
  • 과정은 원활하게 보였으나, 예기치 못한 SMS 연락이 옴 ("이메일을 못 보낸다"는 내용)

해지 방해와 내부 정보 유출 정황

  • Agency B의 IT 책임자는 "해지에 문제가 발생했고, 내부 이탈 준비가 공급업체에 노출됨" 을 알림
  • 기관 내부 계획 및 저자의 Agency C 견적서까지 공급업체가 입수함
  • Agency C는 공급업체 측에서 "해당 소프트웨어의 유일 공인 설치업체" 라며 부당경쟁 및 법적 위협까지 받음
  • 기관은 잠재적 분쟁을 우려해 이전 계획을 포기함

이메일 감청 의심과 테스트

  • Agency C에서 외부 구 계약 관리자의 토큰 인증 계정이 모든 메일 접근권한 보유를 확인
  • 해당 인물이 공급업체에 "알렸다"고 실토했으나, 저자 언급은 부인함
  • 이메일 감청 확증을 위해 해외 지인을 통한 가짜 견적서 발송 후, 공급업체가 즉시 해당 정보를 언급하는 사건 발생
  • 이로써 이메일 열람 가능성이 매우 높다는 점이 드러남

경악스러운 계약 조항 및 공급업체의 대응

  • IT팀이 정식으로 항의하자, 공급업체는 "계약서 조항에 따라 가능"하다며, 2년 전 수용된 일방적 개정 사항을 지적함
  • 개정 조항 예시:
    • 통보 기간 6개월→12개월로 연장
    • 무상 서비스의 유상 전환 가능
    • "보안 목적" 명분 하에 웹메일 외 접근 차단 (실제로 바로 시행)
  • 이는 GDPR 도입 이전 시대, 규제가 충분치 못한 상황에서 가능했던 관행임

소극적 대응과 추가 피해

  • 저자는 공정경쟁불인정된 설치업체 논란에 대해 직접 해명을 시도했으나, 연락 시도에 공급업체는 무응답
  • 두 기관에 법적·윤리적 조사를 권유하지만, 실제로는 비용 인상(이전 무료 기능의 유료화, 30% 추가 비용)에만 주목
  • 조직은 내부 비리나 개인정보 침해보다 예산 부담만 문제 삼고 끝냄

결말과 시사점

  • 수년 후, 책임 이사들은 모두 교체되었고, 기술팀만 남아 후회와 함께 신중함을 갖게 됨
  • 결국 더 안전하지만 혁신적이지 않은 업체로 이전되는 선에서 마무리됨
  • 저자는 이 문제를 원천적으론 해결하지 못함
  • "오픈 소스 지원"을 표방하는 기업이 이처럼 공급업체 고착이나 비윤리적 행태를 보이면, 업계 전체가 피해자가 됨
  • 문제의 핵심은 소프트웨어가 아니라 이를 다루는 사람의 태도
GN⁺ 5일전  [-]
Hacker News 의견

  • 한때 임시 IT 매니저였던 사람이 토큰 인증을 통해 이메일 클라이언트에 계속 연결된 상태로, 모든 메시지에 접근할 수 있었음. 이 사람은 과거에 공급업체와 원래 계약을 체결한 당사자였음. 비공식적으로 질문하니 "경고하기 위해" 연락했다며 별문제 없었다고 함. 이런 행동은 정말 기분이 좋지 않음. 뭔가 유출하거나 규정을 어기고도 "별거 아니었다"고 말하는 사람들 때문임. 나와 함께 일하는 Director도 비슷한 행동을 여러 번 했음. 컨퍼런스에서 소프트웨어를 알게 되면 바로 데모를 잡고 계약을 제안함. 그리고 알고 있는 외주업체에 먼저 일감을 약속함. 실제로 계약을 할 권한이 없어서 그때서야 나에게 연락함. 내가 제품 선택을 맡은 이후에도 두 번이나 이런 일이 발생했음. 매번 다른 매니저 밑에서 일했지만 두 분 모두 "아무 문제 없다"고만 했음. 마지막엔 Director가 이렇게 일감을 약속하고 계약을 준비하는 게 회사 정책에 심각하게 위배된다는 지적을 받았음. Director는 내부적인 문제라서 아무도 자신을 징계할 수 없다며 신경도 쓰지 않았음. 나중에 우리가 제품을 검토할 때 그 제품은 "시간이 지나면 더 좋아진다"는 약속을 했고, 회사 모든 데이터가 AI에 그냥 들어가고 있었음. 기업 데이터 보안 규칙을 신경도 안 쓴 상태였음. 그때도 Director는 "뭐가 문제냐, 다들 남 데이터 다 읽는다"고 무심하게 반응함. 결국 법무팀이 개입해서 AI 기능을 꺼버림. 이런 악의적이거나 무분별한 동료와 맞서 싸우는 건 정말 어렵고, 특히 그 사람이 내 윗사람이면 더 난감함. 그들은 그냥 실수라 치부하면서 넘어가고 아무도 제재를 못함

    • 나는 Fortune 100대 기업 두 곳에서 일했던 경험이 있음. 곳곳에 관리자가 공급업체로부터 개인 리베이트를 받는 걸 대놓고 보고도 여러 번 목격했음. 공개적으로 지적하자 여러 회의에서 나를 더 이상 부르지 않게 되었음

    • Director가 한 행동은 내가 본 HR Director들이 평소에 즐겨 하던 것과 아주 흡사함. 이분들은 2~3년마다 아무 상담도 없이 온갖 비싼 성과평가 소프트웨어를 바꾸는 걸 정말 좋아함. 그래도 요즘 제일 좋아하는 Lattice는 UX라도 쓸만한데, 예전에 쓰던 PeopleSoft는 정말 별로였음

  • 요청 내용이 단순했음: "이 솔루션 평가해서 적합하면 마이그레이션하자". 그런데 내용을 여러 번 읽어야만 제대로 이해할 수 있었음. 여기서 말하는 솔루션은 앞 문단에 언급된 공급업체 없이, 오픈소스 스택만을 의미함. 처음엔 공급업체까지 포함인 줄 알았다가 계속 비교가 이뤄지기 시작해서 혼란스러웠음

    • 나도 몇 문단을 읽고 나서야 이 점을 이해했음

    • 흥미로웠음. 난 바로 그 부분에서 읽는 걸 멈췄음

  • Oracle 얘기 같다는 생각이 듦. 물론 Oracle은 이런 걸 훨씬 교묘하게 처리하지만, 난 언제나 사람들에게 Oracle 제품은 될 수 있으면 멀리 하라고 추천함

  • 언젠가 이 이야기에 실명 공개되는 날을 봤으면 하는 바람임

    • 저자 말로는 해당 회사가 법적 소송을 매우 자주 거는 곳이라고 함. 그들이 개인적으로 고소하는 상황을 피하고 싶은 게 당연함. 심지어 자사 이사들도 이 회사와 싸우려 들지 않을 것임

    • "언젠가 실명 공개되길 바란다"는 말이 있었음. 하지만 "관련자와 회사 프라이버시 보호"를 위해 익명으로 쓴단 답변임. 기업도 이제 프라이버시 권리가 있나 하는 생각이 들지만, 나도 이 심정이 이해됨. 예전에 자연재해 때 회사가 도저히 용납할 수 없는 일을 저질렀던 곳에서 일했음. 내가 문제를 제기했더니 혼자 징계를 받고, 동료들은 묵묵히 참고 있었음. 결국 첫 기회에 회사를 그만뒀음. 벌써 20년 전 일이지만, 막상 그 얘기를 글로 남기는 건 쉽지 않음. 이미 수십 년 지난 일이니 의미가 있나 싶고, 리더십도 이름도 다 바뀐 회사라 뭐가 남나 싶음. 그래서 내 블로그엔 여러 회사의 고약한 일들 자동 공개하는 dead-man's switch가 있지만, 누가 그걸 본들 뭐가 달라지나 싶음. 괜히 화만 나거나 의미 없을 듯함. 그럼에도 불구하고, 난 HN에서 실명 공개하라고 늘 외치는 사람이기도 하니 결국 스스로도 모순적임

    • 너무 안타깝게도 그들은 EU에 있어서, 법적으로나 문화적으로나 표현의 자유가 그리 중요하게 여겨지지 않는 듯함

  • 이 사람, 정말 "지뢰밭" 같은 환경에서 일하는 듯함. 한발 한발이 문제가 터지고, 강한 적들이 있는 상황임 관련 링크

    • 이런 지뢰밭 환경은 사실 이탈리아 비즈니스 생태계의 현실임. 이탈리아는 소규모 가족 및 친지 경영 회사가 지배적이라 이런 일이 매일 벌어짐. 저 이야기가 사실이라면, 작성자가 세무경찰인 Guardia di Finanza와 어떤 연이 있는 사람이 아닐까 싶음. 이 부서는 소상공인들에게 거의 생사여탈권을 쥐고 있는 곳임

  • 혹시 시간대나 당사자를 헷갈린 거일 수 있지만, "이 회사가 자체 관리 버전과 고유 기능을 붙인 제품을 제안했다"는데, 그게 오픈소스가 맞는지 의문임

    • 이런 식의 프로젝트는 많음. 예를 들어 Gitlab은 오픈소스 Community Edition도 있고, 돈 받고 서비스하는 Premium, Ultimate 에디션도 있음

    • 이건 "법의 문구만 지키는" 경우임. 유럽 법(특히 유럽 국가법)에서는 공공 분야에 오픈소스 사용이 의무화된 경우가 많은데, 그 이유는 상호운용성 보장, 벤더 락인 방지, 디지털 주권, 그리고 "공적 자금=공적 코드"라는 원칙 때문임. 남의 서버에서 오픈소스를 쓰면 기술적으로는 의무를 지키는 셈이지만, 오픈소스를 도입하는 참된 이유(특히 벤더 락인 방지)를 생각하면 웃긴 상황임

  • 계약서의 세부조항은 반드시 꼼꼼히 읽고 서명해야 함. 일반 소비자 계약도 그렇지만 비즈니스 계약에선 필수임

    • 작은 비즈니스 계약도 예외 아님. 내가 이사진으로 있는 비영리단체에서 직원들이 사무용 복합기를 알아보고 계약서를 가져옴. 이미 다 검토되었다며 그냥 서명하라고 했는데, 조항들이 정말 충격적이었음. 예를 들어, 우리가 어떤 이유로든 취소하면(심지어 상대방이 계약을 안 이행해도) 남은 전체 계약 대금을 즉시 지급해야 한다는 내용이 있었음. 렌탈 구조라 장비값 전액을 월금 안에 포함시켜 받으면서 장비 소유권도 업체에 있음. 결국 취소해도 장비는 업체 것이고, 우리만 돈 다 냄. 법적 분쟁이 나도 우리 쪽이 변호사 비용 전액 부담. 난 절대 못하겠다고 했고, 직원들은 다른 데서는 다 사인하니 1년 가까이 내게 화난 상태였음

    • 세부조항까지 꼼꼼히 읽으라는 충고인데, 사실 글을 보면 그것도 별 의미가 없는 경우임. 계약 조건이 "일방적으로" 바뀌고 당사자에게 알리지도 않는 케이스가 늘어남. IT 업계에선 이런 게 거의 일상임. 이미 사인한 계약의 세부조항을 아무리 확인해도 바뀌어 버렸기 때문에 소용없음. 요즘은 약관 바뀌었다고 이메일 안내라도 오면 운이 좋은 편임. 동의 안 하면 어쩔 건데 하는 태도이고, 변호사가 아니라면 이게 불법이라 말하겠지만 courts에서 제대로 제재한 적이 없으니 계속 반복됨

    • 계약서 해석, 검토에 드는 시간, 노력, 잘못 이해했을 때의 위험까지 다 비용에 포함해서 판단해야 함. 이런 걸 생각하면 어떤 계약은 아예 하지 않는 게 더 나은 경우가 많음

    • "일방 수정조항"이 실제로 어떻게 작동하는지 궁금함. 세부조항이 마음에 안 들면 바로 6개월 전 통보하고 해지해야 하는 건가 궁금함

    • 난 ID.me 가입 계약서를 읽어보고 충격받았음. "자발적으로" 시민권 포기를 요구함. 그래서 사용하고 싶지 않음. 그런데 IRS.gov 로그인은 이거 외에 방법이 없음. YouTube 보려면 Google 계정 필수임. 단톡방 부모 모임 하려면 WhatsApp의 Meta 약관에 동의해야 함. 이런 경우가 끝이 없음

  • 나는 법적 전문가는 아니지만, 그들이 이메일을 읽고 그에 따라 조치한 목적 자체가 명백하게 불법이어서 계약 자체도 무효가 되어야 한다고 생각함

    • 특히 이게 정부기관이라면 정말 충격임. 외주 업체가 이메일 서버에 백도어를 몰래 심고 이메일을 몰래 감시한다면? 부패부터 외국 정보활동까지 무슨 일인지도 모름. 이게 미국이었다면 FBI나 CIA가 나서서 이런 벤더 문제를 싹 정리했을 것임

    • 맞음. 문제는 해지를 하게 되면, 극도로 적대적인 상대와 법정에서 맞서야 하고, 그들은 우리가 돈을 더 내게 만들려고 최선을 다할 것임. 어떤 조직들은 윤리보다 안전을 중시해서 그냥 추가비용을 감수함. 반면 불공정한 특허 소송, 불합리한 계약 조항 폐지 같은 걸 위해 다투는 회사들도 분명 있음. 이 사례의 조직은 확실히 그런 쪽이 아니었음

    • 법적 조언은 아니지만 이런 건 반드시 실명을 공개하여 경고할 필요가 있다고 생각함

  • 많은 HN 사람들이 비슷한 상황을 겪었을 거란 생각임. 예전에 시스템 종료 작업을 비밀리에 하던 중이었는데, 우리 회사와 협력사 간에 코드베이스가 공유된 상황이었음. 우리 개발자 한 명이 "Reversing Migration Script" 같은 내용을 커밋에 남겼고, 그로부터 1시간도 안 돼서 양사 CEO 사이에 대격돌이 벌어짐. 나중에야 알게 됐지만 상대 회사가 이런 단어를 코드에서 실시간으로 감시하다가 우리가 종료 움직임 보이자마자 바로 액션을 취한 것임. 사실 합법적으로 계약 만료 전 종료였으니 특별히 이상한 일도 아니었음. 이런 감시가 있었다는 걸 뒤늦게 알고, 사내에 '스파이가 누구냐'는 마녀사냥도 벌어짐. 정말 힘든 경험이었음. 이제는 이런 사이코패스 수준의 행동이 평범해진 세상인 듯함. 나만 구시대 사람처럼 순박하게 일하는 것 같고, 그러니 20대만 뽑으려 하는 회사들이 많은 게 당연함 /약간 농담

    • 구체적으로 어떻게 감시했는지 공유해주면 좋겠음. 이런 사례에서 배우고 싶음

    • 감시될 만한 곳에는 아주 흔하게 트리거되는 변수명을 써 넣는 게 좋음. 예전 NSA 관련 농담처럼 말임

  • "실화 기반의 공포 이야기"라고 하지만, 진짜가 맞는지 궁금함. 세부 내용이 사실이어야 더 흥미로울 것임

    • "프라이버시 보호를 위해 기술, 상황, 세부 내용 일부를 조작하거나 다른 경험과 합쳤다"고 명시되어 있음. 명예훼손 소송 피하려고 언론이 가짜 이름 쓰는 것과 비슷한 논리임
답변달기