국내 최대 전자부품 업체인 삼성전기(009150)에서 전·현직 임직원 2만5000명의 개인정보가 유출되는 사고가 발생했다.
이번 사고는 특히 삼성전기가 외부 협력업체에 자사 임직원들의 개인정보 접근 권한을 부여한 뒤 관리 의무를 소홀히 해 발생한 것이라 최치준 사장 등 경영진의 관리 책임이 크다는 지적이 나온다.
서울중앙지검 첨단범죄수사2부는 10일 삼성전기 전·현직 임직원 등의 개인정보를 대량 유출한 혐의로 삼성전기 협력업체 직원 강모(52)씨에 대해 구속영장을 청구했다. 강씨는 삼성전기에 파견 근무 중이던 지난해 7월 회사 전·현직 임직원 등 2만5000여명의 이름과 주민등록번호·출신학교 등 개인정보를 빼내 자신이 개설한 인터넷 포털사이트 카페에 무단으로 올린 혐의를 받고 있다.
이번 사고로 최치준 현 사장과 1만2440명의 국내 임직원들을 비롯해 삼성전기에서 퇴사한 임직원들, 그리고 일부 해외 직원들까지 총 2만5000명의 개인정보가 유출됐다.
임직원들의 개인정보가 경쟁사로 흘러 들어간다면 이를 이용해 개발담당자 등에 개인적으로 접근할 수 있고, 이 과정에서 회사가 개발한 핵심 기술정보를 빼내갈 위험이 있다는 우려가 나온다. 한 보안업체 관계자는 "이름과 주민등록번호는 개인정보를 사고 파는 브로커들이 좋아하는 고급 정보"라고 말했다.
삼성전기는 내부 정보망 구축 작업을 맡은 협력업체의 직원들에게 임직원들의 개인정보에 접근할 권한을 주면서도 관리
의무를 소홀히 했다는 비판을 받을 것으로 보인다. 삼성전기 임직원들의 입장에선 다니고 있는 회사에 믿고 맡긴 개인정보가 협력업체 직원 1명에 의해 털려버린 것인 셈이기 때문이다.
이에 대해 삼성전기 관계자는 "협력사에는 내부 데이터망 구축을 위해 필요한 최소한의 정보에만 접근권을 줬을 뿐"이라며 "경영진이 내부 직원들의 정보가 유출된 것에 대해 미안해하고 있다"고 말했다.
대기업들이 내부 전산 업무를 맡는 협력사에 정보 접근권을 줬다가 민감한 정보가 유출된 사례는 삼성전기가 처음이 아니다. 올해 초 문제가 된 카드 정보유출 사고도 협력업체 직원에 의해 저질러졌다는 것이 밝혀졌다.
그럼에도 삼성전기와 같은 대기업이 전혀 점검이나 대비를 하지 않아 똑같은 수법으로 당한 것은 CEO를 비롯한 경영진의 무능을 보여준 것이란 분석이다. 삼성전기는 국내 1위 전자부품 회사로, 세계 1위 전자기업 삼성전자(005930)에 핵심부품을 공급하고 있다. 지난해 삼성전기의 연간 매출은 8조2565억원이, 영업이익은 4639억원에 이른다.
국내 또 다른 보안전문가는 "삼성은 그룹 차원에서 기업과 협력회사 사이의 내부 정보보호 가이드라인이 있는데 삼성전기가 이 가이드라인을 잘 따랐는지가 의문"이라며 "아무리 내부 전산망 구축을 돕는 협력사 직원이라고 해도 기술적 보호조치가 철저히 이뤄졌다면 임직원들의 개인정보를 쉽게 들고 나갈 수는 없었을 것"이라고 말했다.
삼성전기는 데이터베이스 로그기록 확인 과정에서 개인정보가 유출됐다는 것을 수개월이 지나 파악한 뒤 지난 2월 검찰에 강씨를 고소했다.
한 외국계 보안업체 고위 관계자는 "협력업체에게 필요한 만큼 정보 접근권을 주는 것이 불가피하다면 협력업체 직원들이 민감한 정보를 빼내가지 못하도록 동석을 한다든가, 데이터 로그 기록을 치밀하게 모니터링하는 등 관리를 철저히 해야 한다"며 "대기업이 첨단 해킹도 아니고 충분히 예방할 수 있었던 협력사 관리 미숙으로 정보유출이 된 것은 관리에 구멍이 난 것"이라고 분석했다.
삼성전기는 국내 대표기업인 삼성전자에 핵심 전자부품을 공급하는 회사여서, 삼성전기의 임직원 정보유출은 자칫 삼성전자의 첨단 기술이 해외로 빠져나가는 아찔한 상황으로 이어질 수도 있다. 삼성전기의 임직원 정보를 화보한 경쟁사가 핵심 개발인력에 접근해 개발 중인 새 전자제품의 정보를 빼낼 가능성이 있기 때문이다.
과거 국내 대형 전자·자동차 회사의 기술이 중국 등 후발 산업국의 기업으로 유출된 과정에는 부품회사를 통한 경우가 적지 않았다. 부품회사는 전자·자동차 부품을 제조하는 과정에서 자연스럽게 완성제품의 기술과 디자인 정보를 알게 되기 때문이다.
이경호 고려대 정보보호대학원 교수는 "대기업들이 협력사에 내부 정보통신망과 관련된 업무를 맡기는 법률 계약을 맺을 때에는 그 협력사 직원들은 자사 직원으로 취급해서 봐야한다"며 "협력사 직원들에 의해 정보 유출 등의 문제가 생기면 대기업에게도 책임이 있다고 본다"고 말했다.
이에 대해 삼성전기 관계자는 "내부 정보 관리 실태를 수시로 점검하고 있다"고 밝혔다.
이 관계자는 또 "임직원들의 개인정보를 보호하기 위한 내부적인 장치를 마련하고 있다"며 "가이드라인에 따라 개인정보 관리 실태를 점검하고 있다"고 말했다.
재계에선 이번 사건에 따른 삼성전기 경영진에 대한 문책 수준에 따라 삼성그룹이 임직원 개인정보 유출을 얼마나 심각하게 여기는지 드러나게 될 것으로 보고 있다.