2025.11.06 삼성바이오로직스 개인정보유출 요약

1. 개요

• 삼성바이오로직스는 2025년 11월 6일 사내 전산 개선 작업 중 직원 약 5,000명의 개인정보가 내부 서버의 공용폴더에 접근 제한 없이 노출되는 사고가 발생했습니다. 
• 노조가 11월 9일 개인정보보호위원회(개보위)에 신고하면서 사건이 공식화되었습니다.​

 

2. 피해 범위

• 피해는 삼성바이오로직스 임직원 약 5,000여 명에 영향을 미쳤습니다. 
• 외부인이 접근하기는 어렵지만, 내부 직원이라면 권한 구분 없이 동료의 민감한 정보를 누구나 열람할 수 있었던 상태였습니다.​

 

3. 유출 항목

 - 노출된 개인정보와 경영정보는 다음과 같습니다.​

• 개인정보: 주민등록번호, 학력, 집 주소, 연봉, 인사고과 등 민감한 개인정보​
• 경영정보: 승격 내역, 저성과자 리스트, 성과관리 강화 방안 등 인사 관련 세부 정보 추가적으로 노조 집행부를 감시한 'NJ(노조)' 파일도 발견되었는데, 여기에는 집행부 3명의 피트니스 이용 현황, 휴게시간 미입력 등 세부 행적이 기록되어 있었습니다.​

 

4. 원인

• 회사의 공식 설명에 따르면 전산 개선 작업을 진행하던 중 접근 권한 관리 오류로 인해 발생했습니다. 
• 박재성 상생노동조합 지부장은 "공용 폴더를 이관하는 작업을 진행하고 있어서, 이 과정이 잘 되고 있는지 확인하던 중 (개인정보유출 사실을) 알게 됐다"고 설명했습니다.​

 

5. 대응

 - 회사 측 대응

• 존 림 삼성바이오로직스 대표는 11월 10일 사과문을 발표했습니다.
• 회사는 지난 7일 영업비밀 침해금지 가처분을 신청하고 일부 직원에 대해 자료 삭제 조치를 취했습니다.
• 그러나 일부 인원이 파일을 보유한 채 회수 요구에 응하지 않는 상태입니다.​
• 회사는 11월 9일 외부 유출 가능성을 고려하여 개보위와 한국인터넷진흥원(KISA)에 신고했습니다.
• 존 림 대표는 "임직원 개인정보가 사외로 유출된 정황은 확인되지 않았지만 외부 유출 가능성을 감안해 신고했다"고 밝혔습니다.​

 

 - 노조 측 대응

• 삼성그룹 초기업 노동조합은 회사가 개보위에 신고하지 않겠다고 했다고 주장하며 직접 개보위에 신고했습니다.
• 노조는 노조 탄압 정황이 담긴 문건이 저장된 노조 사무실 PC를 회수하려는 회사 측의 시도가 있었다고 주장했습니다.​

 

6. 문제점

 - 법규 위반 가능성

• 현행 개인정보보호법에 따르면 1,000명 이상의 개인정보가 유출되면 개보위나 KISA에 72시간 내 신고해야 합니다.
• 노조 측의 주장대로 회사가 신고를 지연했을 경우 개인정보보호법 안전조치의무 위반으로 과징금 및 과태료가 부과될 수 있고, 개인정보처리자는 2년 이하 징역 또는 2천만 원 이하 벌금에 처해질 수 있습니다.​

 

 - 내부 거버넌스 문제

• 노조는 유출된 문건 중 "마음건강에 문제가 있는 인력은 회사와 함께 하지 않는 것이 좋다"는 표현과 같이 법적 리스크가 있는 인사정책 내용이 포함되어 있었다고 지적했습니다.
• 또한 노조 집행부를 감시한 정황이 담긴 문건의 존재 자체가 노조 사찰 의혹을 야기했습니다.​

 

 - 접근 제어 실패

• 지난 8월 회사가 "보안의 시작은 나, 신뢰의 완성은 우리"라는 슬로건으로 정보보호 의지를 강조했음에도, 기본적인 폴더 단위 접근 제어가 작동하지 않은 점은 보안 관리 체계의 실효성 문제를 드러냈습니다.​

 

 - 신고 지연 논란

• 회사는 11월 9일 신고했지만, 사고 발생은 11월 6일이므로 72시간 제한 기한(11월 9일 오후 5시경)과 거의 일치합니다.
• 이는 적절한 신고 시점인지에 대한 의점인지에 대한 의문을 제기합니다.