그들이 읽지 말았어야 할 이메일

• 공급업체 고착(Vendor lock-in) 과 공격적인 상업 관행의 위험성에 대한 실화를 바탕으로 한 이야기임
• 공공 기관들이 메일 시스템을 오픈 소스 기반으로 이전하려다 공급업체의 불공정 계약과 감시 의혹에 직면함
• 계약서 내 숨은 조항과 일방적 개정으로 고객의 자유로운 이탈이 차단되고 관리 비용이 급증함
• 감시 및 이메일 열람 정황이 실제로 드러난 상황에서도, 조직은 법적·윤리적 대응보다는 비용 상승에만 관심을 보임
• 오픈 소스 정신을 내세우는 기업조차 악용 사례가 발생, 업계 전체에 신뢰 손상과 부정적 이미지만 남게 됨

저자 서문

• 본 이야기는 실제 경험을 바탕으로 하였으나, 개인과 기업의 신원 보호를 위해 기술과 세부 정보, 맥락 일부가 수정·혼합되어 있음
• 공급업체 고착과 공격적인 비즈니스 관행이라는 IT 업계의 만연한 문제를 다루기 위한 전형적 사례로 읽기를 권장함

경과 – 새로운 메일 시스템 도입

• 몇 년 전, 주요 공공 기관(Agency A)이 노후 Exchange 메일 서버를 사용 중이었음
• 보안 업데이트가 오래전부터 이뤄지지 않아 노출 위험이 컸고, 오픈 소스 도입 권고 규정이 등장함
• 한 외주업체가 오픈 소스 메일 스택 기반의 관리형 서비스를 자체 확장 및 엔터프라이즈 지원과 함께 제공하는 제안을 함
• 시장에서 흔히 볼 수 있는 비슷한 가격 수준이었지만, 실제 제공 서비스 대비 가격이 과도하게 높았음
• Agency A는 이미 신뢰할 수 있는 인프라(다중 데이터센터, 견고한 IP 대역 등) 를 보유하고 있었음
• 기관 요청은 "이 솔루션을 평가해서 적합하다면 이전"하는 것이었음 (대상: 약 500 개 메일박스 및 별칭)

파일럿 도입과 성공적 이전

• 저자는 해당 오픈 소스 스택을 비(非)핵심 환경과 일부 테스트 고객에게 할인 가격으로 적용, 1년간 문제 없이 검증함
• 디자인 유연성에 만족감을 갖고, Agency A에 파일럿 마이그레이션을 권고함
• 새로운 서버 구축, 조기 참여자 대상으로 도메인 구성 후 점진적 이전 시행
• MX 레코드 전환 이후 문제 없이 안착에 성공, 조직 내부 팀도 주요 이슈 없이 운영 유지함

소문 확산과 두 번째 기관

• Agency B가 동일한 관리형 서비스 제공업체의 기존 고객임
• 전체 비용 1/10로 절감, 데이터 자율성 확보, 안정성 증가 등의 이점을 보고 마이그레이션에 관심을 보임
• 그러나 5년 자동 연장 계약에 2년이 남아 있었고, 6개월 사전 통보 조항으로 일정 여유 확보함
• 해당 업체의 공격적인 영업 방침과 보복 우려로 극비로 준비를 진행함
• 계정·별칭 구성 및 테스트셋 완성 후, 계약 해지 통보 시점에 맞춰 실제 마이그레이션을 계획함

세 번째 기관의 등장과 불길한 예감

• Agency C 또한 같은 공급업체 이용 중이었고, 동일한 오픈 소스 스택으로 이전 의지를 보임
• 저자가 별도의 견적을 Agency C에 제출하였으나, Agency B와의 관련성은 언급하지 않음
• 과정은 원활하게 보였으나, 예기치 못한 SMS 연락이 옴 ("이메일을 못 보낸다"는 내용)

해지 방해와 내부 정보 유출 정황

• Agency B의 IT 책임자는 "해지에 문제가 발생했고, 내부 이탈 준비가 공급업체에 노출됨" 을 알림
• 기관 내부 계획 및 저자의 Agency C 견적서까지 공급업체가 입수함
• Agency C는 공급업체 측에서 "해당 소프트웨어의 유일 공인 설치업체" 라며 부당경쟁 및 법적 위협까지 받음
• 기관은 잠재적 분쟁을 우려해 이전 계획을 포기함

이메일 감청 의심과 테스트

• Agency C에서 외부 구 계약 관리자의 토큰 인증 계정이 모든 메일 접근권한 보유를 확인
• 해당 인물이 공급업체에 "알렸다"고 실토했으나, 저자 언급은 부인함
• 이메일 감청 확증을 위해 해외 지인을 통한 가짜 견적서 발송 후, 공급업체가 즉시 해당 정보를 언급하는 사건 발생
• 이로써 이메일 열람 가능성이 매우 높다는 점이 드러남

경악스러운 계약 조항 및 공급업체의 대응

• IT팀이 정식으로 항의하자, 공급업체는 "계약서 조항에 따라 가능"하다며, 2년 전 수용된 일방적 개정 사항을 지적함
• 개정 조항 예시:
  • 통보 기간 6개월→12개월로 연장
  • 무상 서비스의 유상 전환 가능
  • "보안 목적" 명분 하에 웹메일 외 접근 차단 (실제로 바로 시행)
• 이는 GDPR 도입 이전 시대, 규제가 충분치 못한 상황에서 가능했던 관행임

소극적 대응과 추가 피해

• 저자는 공정경쟁 및 불인정된 설치업체 논란에 대해 직접 해명을 시도했으나, 연락 시도에 공급업체는 무응답
• 두 기관에 법적·윤리적 조사를 권유하지만, 실제로는 비용 인상(이전 무료 기능의 유료화, 30% 추가 비용)에만 주목
• 조직은 내부 비리나 개인정보 침해보다 예산 부담만 문제 삼고 끝냄

결말과 시사점

• 수년 후, 책임 이사들은 모두 교체되었고, 기술팀만 남아 후회와 함께 신중함을 갖게 됨
• 결국 더 안전하지만 혁신적이지 않은 업체로 이전되는 선에서 마무리됨
• 저자는 이 문제를 원천적으론 해결하지 못함
• "오픈 소스 지원"을 표방하는 기업이 이처럼 공급업체 고착이나 비윤리적 행태를 보이면, 업계 전체가 피해자가 됨
• 문제의 핵심은 소프트웨어가 아니라 이를 다루는 사람의 태도임