[데일리팜=차지현 기자] 삼성바이오로직스에서 전 직원 개인정보와 인사평가 자료가 공용폴더에 노출되는 사고가 발생하면서 환경·사회·지배구조(ESG) 경영과 법적 리스크가 급부상했다.

특히 삼성전자 사업지원TF가 인사평가 과정에 관여했다는 노조 주장까지 더해지며 지배구조 투명성에 대한 의문이 커지는 분위기다. 일각에서는 글로벌 제약사가 위탁개발생산(CDMO) 계약 시 보안과 ESG 체계를 주요 검증항목으로 삼고 있는 만큼, 이번 사태가 해외 고객사의 신뢰에도 영향을 줄 수 있다는 우려도 제기된다.

삼성바이오로직스서 대규모 개인정보 노출…회사 "즉시 차단·조치 중"

11일 삼성바이오로직스 노조에 따르면 지난 6일 사내 공용폴더에 임직원 5000여명의 개인정보파일과 회사의 경영정보가 접근 제한 없이 방치됐다. 폴더에는 직원의 주민등록번호와 주소, 학력 등 개인 정보와 연봉, 인사고과 등 민감한 정보가 포함돼 있었다. 일부 문건에는 노조 집행부의 사내 이용 기록과 정신건강 상담 관련 기록까지 담겨 있었다.

이번 사고는 직원들이 공용폴더를 점검하던 중 우연히 해당 파일을 발견하면서 외부로 공개됐다. 접근권한 설정이 제대로 이뤄지지 않아 내부 직원이라면 누구나 열람할 수 있는 상태였다는 게 노조의 설명이다. 노조는 즉각 회사 측에 문제를 제기했으며 개인정보보호위원회에도 관련 내용을 신고한 것으로 파악된다.

전산 시스템 개선 작업 과정에서 접근권한 설정이 제대로 이뤄지지 않으면서 이번 사고가 발생한 것으로 알려진다. 이후 권한이 없는 임직원도 해당 폴더를 열람할 수 있다는 사실을 노조가 확인해 회사에 알리자 회사 측은 즉시 접근을 차단했다. 회사는 권한 없이 정보를 열람하거나 파일을 취득한 사례가 있다는 사실을 확인, 지난 7일 일부 임직원을 상대로 영업비밀 침해금지 가처분을 법원에 신청했다는 입장이다.

삼성바이오로직스 측은 "회사 조사 결과 현재까지 개인정보가 외부로 유출된 정황은 확인되지 않았다"면서도 "최근 블라인드 등 온라인 커뮤니티를 중심으로 회사의 비공개 정보가 외부로 유출되면서 개인정보의 외부 유출 가능성이 제기됨에 따라 사전적 조치로 개인정보 보호 유관기관에도 신고를 마쳤다"고 했다.

이어 회사는 "오늘 새벽 존림 대표이사 명의로 전임직원에게 '임직원 개인정보 무단 열람 및 이에 대한 보호 조치 안내문'을 발송해 임직원에게 사과하고 자료를 외부로 유출하지 말 것을 당부했다"면서 "회사는 추가 피해 발생 예방과 재발방지 대책 마련에 총력을 다할 계획"이라고 덧붙였다.

ESG 핵심인 개인정보 보호·지배구조 투명성 흔들…해외 고객사 신뢰도 우려

업계에서는 이번 삼성바이오로직스 개인정보 노출 사태가 단순 내부 사고를 넘어 ESG 경영 전반에 영향을 줄 수 있다는 지적이 나온다. 개인정보 보호는 사회(S) 부문 평가에서 가장 핵심적인 항목으로, 근로자 인권 보호와 내부 정보관리 체계 성숙도를 판단하는 가장 기본적인 지표로 꼽힌다.

지배구조(G) 부문 측면 문제로 번질 가능성도 제기된다. 삼성전자 사업지원TF가 인사평가 과정에 관여했다는 노조 주장이 더해지면서다. 노조는 유출된 파일에 사업지원TF가 인사평가 과정에 구체적으로 개입한 정황이 보인다고 주장하고 있다.

실제 데일리팜이 입수한 문건을 보면 TF 측으로 보이는 임직원이 "핵심 인력 선발안(안)을 내일까지 제출해달라", "리텐션(핵심 인력 유지) 인력 일부를 1~3번 라인으로 분류해 조정해달라", "하위고과 인원 비율을 더 조정할 여지가 있는지 검토해달라"는 등을 지시한 내용이 포함돼 있다.

특정 직원의 고과 조정과 보상 수준 변경을 요청하는 메시지도 오갔으며 삼성바이오로직스 인사담당자가 이에 대한 반영 가능성을 검토하거나 상급 조직의 의중을 확인하겠다는 취지로 답변하는 내용도 확인된다. 사실상 인사평가·보상·인력 유지 전략 등 핵심 인사 의사결정 과정에 사업지원TF가 직접 영향을 미친 것으로 해석할 수 있는 대목이다.

또 직원 명단에는 통상임금 소송 참여 여부가 별도 표기돼 있었던 것으로 확인됐다. 삼성바이오로직스 직원 1279명은 지난해 명절상여금을 통상임금으로 인정해 달라며 회사 측을 상대로 집단 소송을 제기했는데, 문건에는 이들 가운데 누가 소송에 참여했는지가 구분돼 있었다. 노조는 이를 두고 "통상임금 소송 참여 직원에게 하위고과를 부여하려는 사전 작업으로 보인다"며 인사 불이익 가능성을 제기하고 있다.

삼성바이오로직스 입장에서 ESG는 홍보성 활동 이상의 의미를 지닌다. 글로벌 시장에서 ESG는 기업의 지속가능성을 평가하는 수단을 넘어 투자 유치와 파트너사 확보, 금융기관의 대출 심사, 각국 규제 대응까지 좌우하는 핵심 기준으로 여겨진다. 세계 최대 자산운용사 블랙록은 이미 몇 년 전부터 투자 기업의 ESG 리스크를 핵심 심사 기준으로 반영해 왔으며 주요 연기금이나 헤지펀드 역시 ESG 실사를 강화하는 추세다.

회사가 인적분할 추진 과정에서 투명한 지배구조와 안정적인 내부통제 체계 구축을 강조해온 것도 이런 배경에서다. 삼성바이오로직스는 인적분할 증권신고서에서 "분할회사는 정보보호의 중요성을 인식하고 기업 전반에 걸친 사이버 보안 리스크에 선제적으로 대응하기 위해 ESG위원회를 중심으로 체계적인 정보보호 거버넌스를 운영하고 있다"면서 "디지털 환경에서의 지속가능한 경영을 위한 핵심 역량으로 정보보호를 적극 추진 중"이라고 밝힌 바 있다.

삼성바이오로직스는 2021년 이사회 산하에 ESG위원회를 신설한 뒤 지속가능경영 전략 수립과 주요 현안 점검을 정례화했다. 삼성바이오로직스 ESG위원회는 올해 1월과 4월 두 차례 개최해 ESG 공시 전략, 기후변화 대응 계획, 전사 리스크 관리 등 주요 지속가능경영 과제를 심의·의결했다. 또 정보보호 공시 종합 포털에 따르면 삼성바이오로직스는 92억원을 정보보호에 투자한 것으로 집계된다.

일각에서는 이번 사안이 삼성바이오로직스 파트너십에도 영향을 줄 수 있다는 지적도 나온다. CDMO 산업은 고객사의 임상·제조 데이터 관리와 내부통제 수준이 곧 경쟁력으로 연결되기 때문에 개인정보 보호와 지배구조 투명성은 해외 기업과의 계약 체결 과정에서 필수적으로 검증되는 요소라는 게 업계의 공통된 시각이다. 대규모 민감정보 관리 부실은 향후 계약 협상이나 신규 수주 과정에서 부담 요인으로 작용할 가능성이 있다는 우려다.