대규모 정보 노출
최근 삼성바이오로직스(이하 ‘삼바’)에서 임직원 약 5,000명의 주민등록번호, 연봉, 인사고과 등 민감한 개인정보가 사내 공유폴더를 통해 권한 없는 직원들에게까지 노출된 것으로 확인됐다. 내부망을 통해 누구나 열람 가능한 상태였으며, 일부 파일에는 인사팀이 작성한 노조 집행부 관련 문건과 ‘마음건강센터 이용자’ 명단 등도 포함돼 있었다.
이는 단순 사고를 넘어 기업 거버넌스와 내부통제의 심각한 결함을 드러낸 사건으로 부각되고 있다.
사건 전개 및 사측의 초기 대응
한편 문제는 지난 11월 6일 공용폴더 접근 권한 설정 오류로 시작된 것으로 파악된다. 노조 측은 해당 폴더 안에 ‘노조 집행부 별도 관리 리스트’나 ‘하위평가자 확대 문건’ 등이 포함돼 있었다고 주장한다. (1코노미뉴스)
이에 존 림 대표는 11월 10일 오전 사내 입장문을 통해 “임직원 여러분들의 개인정보가 열람 권한이 없는 일부 직원들에게 노출된 것에 대해 진심으로 사과드린다”고 밝혔다. (다음)
사측은 외부유출 정황은 현재까지 확인되지 않았다고 했으나, 일부 파일이 직원 커뮤니티를 통해 유포된 정황까지 제기되며 논란이 확산되고 있다. (인베스트조선)
기업이 반드시 점검해야 할 보안·인사관리 포인트
① 접근 권한 설정과 내부망 통제
이번 사건의 핵심 원인 중 하나는 바로 공용폴더의 접근 제한 미비였다. 권한 없는 다수 직원이 민감한 인사자료를 열람한 것은 기술적 오류 이상의 문화적·관리적 결함이다. 기업은 내부폴더 및 문서 관리 체계를 즉각 점검해야 한다.
② 평가자료 및 노사자료의 투명성
또한 단순한 정보 노출을 넘어 ‘노조 감시’ 또는 ‘별도 관리 리스트’ 등의 인사자료가 존재했다는 주장까지 제기됐다. 기업의 인사평가 기준과 문서관리 방식이 얼마나 투명하게 운영되고 있는지가 이번 사건을 통해 새롭게 드러난다.
③ 신속한 대응 및 외부 신고 절차
현행 법령에 따르면 1천명 이상의 개인정보 유출 시에는 72시간 이내에 해당 기관 신고가 필요하다. 삼바 측은 유관 기관에 신고했다고 밝혔으나, 노조 측은 회사가 이를 은폐하려 했다는 의혹을 제기했다. (한국신용신문)
따라서 기업은 대응 시점, 직원 안내, 사후 보고까지 하나의 통합 절차로 관리해야 한다.
직원 입장에서 꼭 놓치지 말아야 할 권리
- 내 정보가 노출된 경우 확인 권리: 직원이라면 자신의 개인정보 및 인사평가자료가 언제 열람됐는지 회사에 열람기록 제출을 요구할 수 있다.
- 삭제·회수 조치에 대한 설명 요구: 회사가 자료 삭제 또는 회수를 진행했다면, 왜 그 조치가 이뤄졌는지 직원이 명확한 설명을 받는 것이 중요하다.
- 노조·평가관리 문건의 적법성 점검: 인사자료 내에 ‘하위평가자’ 또는 ‘노조 집행부 별도 관리’ 문건이 있다면 이는 부당노동행위나 차별적 인사관리로 이어질 가능성이 있다.
직원으로서 이번 사건을 단순히 내 정보 노출로만 받아들이지 않고, 자신의 권리 보호 및 조직문화 개선의 계기로 활용하는 것이 바람직하다.
왜 이 사안이 기업 리스크로 큰가
단순한 개인정보 유출을 넘어 이 사건이 갖는 의미는 매우 크다. 첫째로 기업 신뢰도 하락이다. 임직원 5천명이라는 규모의 정보가 내부공유됐다는 사실은 외부 고객·투자자에게 기업 내부관리 실패의 신호로 작용한다. 둘째로 인재채용 리스크이다. 내부통제가 느슨한 기업은 인재 확보 경쟁에서 불리할 수 있다. 셋째로 노사 갈등의 확대이다. 인사평가자료에 노조관리가 포함됐다는 주장까지 나오면서 노사간 긴장이 기업 내외로 번질 수 있다.
핵심 인사이트 및 행동 제언
이번 사건에서 얻을 수 있는 핵심 인사이트는 다음과 같다.
- 내부열람만으로도 심각한 유출사고가 될 수 있다: 외부로 유출되지 않았더라도 내부 접속 권한만으로 기업 신뢰는 흔들린다.
- 인사자료·평가자료도 보안관리 대상이다: 개인정보만이 아니라 평가 및 노조 관련 문건도 관리범위에 포함돼야 한다.
- 사고 대응의 투명성과 속도가 신뢰 회복의 열쇠다: 사과 한마디로 끝나는 것이 아니라 이후 개선과정이 직원·이해관계자에게 보여져야 한다.
그리고 지금 바로 실행하라.
기업이라면 접근 권한 설정, 인사자료 관리체계, 열람기록 공개 등 내부통제를 즉시 강화해야 한다. 직원이라면 자신의 정보 관리 현황을 오늘 HR담당자에게 확인해보자.
당신의 정보는 정말 안전하게 보호되고 있습니까? 지금 확인하는 것이야말로 가장 중요하다.
