삼성바이오로직스 내부망에서 임직원 개인정보가 권한 제한 없이 열람 가능한 상태로 노출된 사실이 확인됐다.회사는 접근 차단 및 관련 신고 조치를 진행했으며, 현재까지 외부로의 정보 유출 정황은 없다는 입장을 밝혔다. 한편 노조는 노출된 문서의 구성과 관리 방식에 문제가 있었다고 지적하고 있어, 문건 작성 경위와 활용 여부에 대한 추가 확인이 필요하다는 목소리가 나온다.

 

해당 폴더가 내부망에서 권한 제한 없이 열람 가능한 상태였다는 사실은 지난 6일 노조가 문제를 제기하면서 알려졌다. 폴더에는 약 5,000여 명 임직원의 주민등록번호, 주소, 학력, 연봉, 인사고과, 승격 정보 등 민감한 개인정보가 포함돼 있었으며, 일부 문서는 접근권한 설정이나 암호화가 적용되지 않은 상태였던 것으로 전해졌다.

 

회사는 이를 내부망 접근 통제 미비로 발생한 ‘내부 노출’ 사고라고 설명했다. 존림 삼성바이오로직스 대표는 10일 입장문을 통해 “권한이 없는 일부 직원이 열람할 수 있었던 점에 대해 사과드린다”며 “사외 유출 정황은 현재까지 없다”고 밝혔다.

 

 

하지만 노조 측은 문제가 된 문서의 구성 자체가 사안의 핵심이라고 주장하고 있다. 노조에 따르면 해당 폴더에는 ‘NJ(노조)’로 표시된 리스트가 포함돼 있었고, 조합 간부의 사내 출입기록, 휴게시간, 사내 카페·운동시설 이용 시간 등이 정리돼 있었다는 것이다.
또한 지난해 통상임금 소송에 참여한 직원 1,279명이 별도로 표시된 문건도 포함돼 있어, 노조 활동 또는 소송 참여 여부가 인사평가나 보상에 영향을 미쳤을 가능성을 제기하고 있다.

 

다만 노조 간부 추적 또는 평가 불이익 부여 정황에 대해서는 회사 측이 사실이 아니라는 취지로 설명한 것으로 알려졌다. 문건 작성 경위, 작성 주체, 실제 활용 여부 등은 향후 조사 과정에서 확인될 사안이다.

 

이번 사안의 쟁점은 개인정보 노출 자체를 넘어, 해당 정보가 어떤 목적과 기준으로 축적·분류·관리되어왔는가로 이동하고 있다.

 

개인정보보호법은 천 명 이상의 개인정보가 유출되거나 유출 위험이 있을 경우 즉시 신고하도록 규정한다. 또한 특정 직원의 노조 활동이나 소송 참여 사실이 평가·보상에 영향을 미쳤다면 부당노동행위 및 근로기준법 위반 소지가 있다.

 

삼성바이오로직스는 글로벌 제약·바이오 기업들과 위탁개발·생산(CDMO) 계약을 수행하는 기업으로, 정보 관리 체계와 인사 운영의 투명성은 기업 신뢰와 직결된다. 이번 사건은 내부 통제, 평가 구조, 조직 운영 방식까지 거버넌스 전반에 대한 재검토 필요성을 드러내고 있다는 지적이다.

 

향후 개인정보보호위원회 및 고용노동부 조사 결과에 따라 실질적인 책임 범위와 개선 방향이 규명될 전망이다.

 

헬로티 맹운열 기자 |