국내 CDMO(위탁개발생산) 선도기업 삼성바이오로직스에서 임직원 5000여명의 주민등록번호·연봉·주소·학력·인사고과 등이 포함된 개인정보를 노출하는 사고가 발생했다. 회사는 즉각 접근 차단 조치에 나섰고 대표이사가 직접 사과문을 발표했지만, 일부 문건에 노조 집행부 관련 내용이 포함된 것으로 알려지며 사태가 확산하는 분위기다.
11일 업계에 따르면 삼성바이오로직스 상생노동조합은 인천 연수경찰서에 일부 임원을 업무방해, 특수건조물침입, 부당노동행위 혐의로 고소한 것으로 알려졌다.
5000명 개인정보 내부 유출…과징금 가능성
이번 사건은 지난 6일 인사팀이 관리하던 사내 공용폴더가 '권한 제한 없이' 전사 직원이 열람할 수 있는 상태로 설정된 것이 발단이 됐다. 회사에서 전산개선 작업 중 권한 설정 오류가 발생하면서 약 5000여 명의 임직원 주민등록번호와 주소, 학력, 급여 내역, 승격 및 인사평가 자료 등이 포함된 비공개 폴더가 전직원에 노출된 것이다.
이에 존 림 대표는 전날(10일) 사내 입장문을 통해 "열람 권한이 없는 일부 직원에게 개인정보가 노출된 것에 대해 진심으로 사과드린다"며 "고과, 승격 등 임직원 비공개 정보와 회사 경영정보 다수가 해당 권한을 부여받지 않은 임직원들도 열람할 수 있음을 확인한 후 접근을 제한했다"고 밝혔다.
회사는 권한이 없는 임직원들의 열람 및 취득 내역을 확인하고 무단 열람 및 자료를 저장한 직원들을 대상으로 자료 삭제 등의 조치를 취하고 있다. 자료 회수 요구에 응하지 않고 있는 일부 직원들을 대상으로 영업비밀 침해금지 가처분 신청을 한 상태다.
이번 사안은 개인정보보호법 제29조(안전조치 의무) 위반으로 개인정보보호위원회로부터 과징금 및 시정명령이 내려질 가능성이 크다. 현행법은 개인정보처리자에게 기술적·관리적 보호조치를 의무화하고 있으며, 내부망 설정 오류나 열람권한 미비로 인한 노출도 '유출'로 간주될 수 있기 때문이다.
과거 유사 사례에서 시스템 오류나 관리 부주의로 인한 내부 노출에도 과징금 및 시정명령이 내려진 바 있다. LG헬로비전은 2023년 개인정보처리시스템 안전조치 의무 소홀로 약 4만6000여명의 개인정보가 유출되면서, 개보위로부터 과징금 11억3000여만원과 과태료 1700만원을 부과받았다.
노조 활동 감시 논란…담당 임원 고소
이번 사태는 단순한 보안 사고를 넘어 노조 감시 의혹으로 번지고 있다. 사업지원TF(테스크포스)팀에서 노조 집행부 3명을 'NJ(노조)'로 구분해 관리했다는 자료가 발견되면서다.
노조 측에 따르면 2022년 11월부터 2023년 10월까지 이들의 사내 피트니스센터 이용횟수, 휴게·근무시간 등을 따로 집계한 파일이 발견됐고 이 외에도 노조 관련 자료와 조합원, 통상임금 소송 관련자 명단 등에 대한 문건도 포함돼 있었다.
노조는 "이 같은 자료는 노조활동 감시와 평가 불이익, 회유 등으로 이어질 수 있으며, 명백한 부당노동행위에 해당할 수 있다"며 담당 임원을 경찰에 고소한 상황이다.
노조 관련 문건이 실제로 존재한다면 노조법상 부당노동행위, 근로자 개인정보 무단 수집 등에 대한 조사도 불가피할 전망이다. 현재 고용노동부는 노조의 진정서를 접수해 검토 중이며, 개인정보보호위원회 역시 사실관계를 파악 중인 것으로 알려졌다.
조직 운영 투명성·신뢰 문제 확산 우려
삼성바이오로직스의 조직 운영 투명성과 신뢰 문제로 확산될 가능성도 제기되고 있다. 이번 개인정보 노출에 고객사 영업비밀이나 기술정보 등은 포함되지 않았지만 내부 통제 미비, 인사관리와 노조관계의 경계 불명확성, 데이터 거버넌스 취약성은 모두 글로벌 파트너십 신뢰와 직결된다.
회사의 후속 조치와 노조 관계 회복이 향후 신뢰 회복의 분수령이 될 것으로 보인다. 삼성바이오로직스는 현재 개인정보 유출 경위를 외부 전문기관과 함께 조사 중이며, 접근권한 관리체계 강화와 전사적 정보보호 교육 확대 등 재발 방지책을 마련하고 있다.
회사 관계자는 "사외 유출은 확인되지 않았지만 외부 유출 가능성을 감안해 해당기관에 신고했으며 내부 보안관리 기준을 전면 재정비 중"이라며 "임직원들의 추가 피해 발생 예방 및 재발방지 대책 마련에 총력을 다할 것"이라고 말했다.
