소프트웨어 라이선스 감사(software license compliance audit). 기업에서 소프트웨어 관리 업무를 하는 사람이라면 누구나 들어보았을 말인 이 소프트웨어 라이선스 감사 때문에 최근 들어 소프트웨어 제공회사와 소프트웨어 이용회사 사이의 분쟁이 심각해지고 있다.

소프트웨어 라이선스 감사란 통상 소프트웨어 이용 약관에 포함되는데, 소프트웨어 제공회사로부터 라이선스 권리를 취득한 소프트웨어 이용회사에 대해, 그 소프트웨어 이용회사가 법령상·약관상 의무나 라이선스 범위를 준수(compliance)했는지 알아보기 위해 소프트웨어 제공회사가 직접 또는 원격으로 소프트웨어 이용회사 PC 등을 조사하는 것을 말한다.

미국의 경우, 소프트웨어 라이선스 감사는 10년 정도의 역사를 가지고 지속적으로 증가추세에 있다. 가트너(Gartner) 보고서에 의하면, 2011년 기준으로 전체 기업의 61% 이상이 감사를 받았으며, 감사를 가장 많이 한 소프트웨어는 아이비엠(IBM), 어도비(Adobe), 마이크로소프트(Microsoft), 오라클(Oracle)의 순서로 나타났다.

우리나라의 경우 미국만큼은 아니지만 역시 증가추세에 있으며, 이 과정에서 많은 법률적 쟁점이 발생하는바, 이에 대해 4부에 걸쳐 알아보기로 한다.

◆ 감사의 유형

소프트웨어 라이선스 감사는 4가지 유형으로 나타난다. 소프트웨어 이용회사가 미리 정해진 방법으로 감사를 한 다음에 소프트웨어 제공회사에 그 결과를 제공하는 자체 감사(self-audit), 제3자가 소프트웨어 이용회사를 감사한 다음에 그 결과를 소프트웨어 제공회사에 제공하는 제3자 감사(independent audit), 소프트웨어 제공회사가 직접 소프트웨어 이용회사를 감사하는 제공자 감사(publisher-staffed audit), 소프트웨어 관리툴인 SAM(Software Asset Management)을 이용하는 SAM 감사.

우리나라의 경우, 소프트웨어 제공회사가 통상 컨설팅 회사에 위임해 컨설팅회사가 감사를 하고, 그 결과를 소프트웨어 회사에게 제공하는 제3자 감사(independent audit)가 가장 빈번하다. 이 때 컨설팅 회사는 소프트웨어 이용회사 및 감사결과에 대해 비밀유지의무를 부담해야 한다.

이러한 제3자 감사에서 발생하는 가장 중요한 법적 문제는 바로 제3자에게 감사비용을 누가, 언제, 얼마나 지급해야 하는가이다. 이 문제는 매우 중요한 문제이므로 마지막에 다루기로 한다.

◆ 감사의 방법

소프트웨어 라이선스 감사는 소프트웨어 제공회사들의 협회나 위탁단체에 의해 이루어지기도 한다. 이른바 위탁감사라 할 수 있다. 우리나라에서는 한국소프트웨어저작권협회(SPC)가 행하는 게 일반적이다. 미국의 경우는 Business Software Alliance(BSA), Software Information Industry Association(SIIA), 영국의 경우는 Federation Against Software Theft(FAST)라는 단체가 유명하다.

감사는 전문적인 감사자들이 신뢰성 있는 감사툴을 작동함으로써 행해져야 한다. 감사툴은 홀로(stand-alone) 또는 네트워크 기반(network) 형식으로 작동하면서, 저작권법 또는 라이선스 계약 위반 사실을 감지해 보고서를 만들어낸다.

많은 감사 PC가 있는 경우에는 일부 PC를 샘플링해 감사를 행하기도 하고, 민감한 시스템을 사용하는 소프트웨어 이용회사에 대해는 먼저 테스트를 거친 다음에 본격적인 감사 절차에 나아가야 한다.

이러한 감사툴 사용에서 문제되는 것은, 예전에 불법소프트웨어를 사용하다가 이를 지우고 정품을 구입한 다음에 깔아서 사용하고 있는데, 감사툴이 예전의 불법소프트웨어 또는 크랙버전을 감지하는 경우이다.

이 경우, 논란이 있기는 하지만 저작권법 위반이 될 소지가 있기 때문에, 소프트웨어 이용회사는 레지스트리까지 완전히 말소함으로써 이러한 논란을 미리 없애는 조치를 취해야 한다. 각 소프트웨어의 언인스톨(Uninstall) 프로그램을 이용해 설치했던 소프트웨어를 말소하면 레지스트리까지 말소되기는 하지만, 감사를 대비하기 위해서는 컴퓨터의 레지스트리를 다시 한 번 점검해야 할 것이다.

참고로 우리나라의 한국소프트웨어저작권협회(SPC)는 크랙프로그램이라도 이미 언인스톨(Uninstall) 및 레지스트리 정리를 한 경우에는 법적 문제를 삼지 않는다고 홈페이지에 공지하고 있다(samdb.or.kr/Faq/ 참조). 만일 레지스트리 정리가 어렵다면, 하드디스크를 포맷하고 정품프로그램을 설치하는 게 좋다.

<2부에 계속>

* 법무법인 민후 김경환 대표변호사 작성, 전자신문(2013. 5. 28.), 디지털타임스(2014. 1. 4.), 마이크로소프트웨어, 디지털데일리(2014. 3. 19.) 기고.