상세 컨텐츠

본문 제목

[삼성바이오로직스] 임직원 개인정보 내부 노출 정황_2025년 11월

본문

공유폴더 이관 과정의 접근권한 오류로 약 5,000명 임직원 개인정보·인사정보가 내부에서 노출된 정황. 외부 유출은 확인되지 않았으나 가능성을 고려해 관계기관에 신고된 사건





  개요  

     2025년 10월 말, 삼성바이오로직스 내부 공용폴더 이관 작업 중 접근권한 설정 오류가 발생하여, 팀 단위로 제한되던 인사파일이 일부 직원에게 열람 가능한 상태가 된 정황이 보고됨.  11월 6일 노조가 이를 사내에 제기했고, 회사는 같은 날 저녁 즉시 접근을 차단
    노출된 정보에는 주민등록번호, 주소, 학력, 연봉·인사고과 등 민감한 인사자료 및 내부 문서가 포함된 것으로 알려졌다. 회사는 외부 유출 정황은 없다고 밝혔으나, 가능성을 고려해 개인정보보호위원회에 신고했다.

 

  사고내용 요약  

    1. 기관명 : 삼성바이오로직스
    2. 사고유형 : 내부 접근권한 오류로 인한 개인정보·인사정보 내부 노출

    3. 유출규모 : 약 5,000명 (확정 범위 조사 중)
    4. 유출항목
       - 주민등록번호, 주소, 연락처, 학력
       - 연봉, 인사고과 등 인사평가 정보
       - 고과 반영 자료, 희망퇴직 자료, 노조 집행부 리스트 등 내부 문서
       - PS제도 가이드, 평가 조정 정황 등 추가 인사 관련 문서
           ※ 일부는 ‘보도 기반 정황’이며 회사 공식 확인 범위와 차이 가능


  보안사고 타임라인  

    -  2025년 10월 21일: 공유폴더 이관 작업 중 접근권한 오류 발생(보도 기준)
    -  2025년 11월 06일: 노조 측이 개인정보 노출 사실 확인 및 사내 제보
    -  2025년 11월 06일 20시 40분: 회사, 문제 인지 → 즉시 접근 차단
    -  2025년 11월 07일: 무권한 열람 직원 확인, 정보 회수·삭제·서약
    -  2025년 11월 07일: 일부 직원 대상 영업비밀 침해금지 가처분 신청
    -  2025년 11월 09일: 개인정보보호위원회 신고 완료
    -  2025년 11월 10일: 대표이사, 임직원 대상 공식 사과문 발송
    -  2025년 11월 11일~: 노조 측, 대응 방식에 대한 이견 공개


 
홈페이지 보안사고 관련 공지    

    외부 홈페이지 공지 여부는 보도상 확인되지 않음(미확정)
    내부 공지(대표 사과문)는 11월 10일 발송됨

삼성바이오 상생노조(조선비즈)

 

 

   대응내역  

    - 비인가 접근 차단
    - 권한 없는 열람자 확인 → 자료 삭제·회수 및 서약서 징구
    - 외부 유출 정황 없음(회사 발표)
    - 개인정보보호위원회 신고
    - 인사·경영정보 외부 공유 행위에 대한 법적 검토 진행
    - 재발 방지 위한 권한관리 체계 점검 중


 재발방지대책(권고사항)   

    1. 기술적 조치
       -  권한 변경 및 폴더 이관 시 자동 검증 프로세스 구축
       -  민감정보 파일 접근 시 실시간 탐지(UEBA 기반)
       -  인사정보는 별도 분리·암호화 스토리지 사용
       -  권한 설정 변경 시 이중 승인제 도입


    2. 관리적 조치
       -  공용폴더/민감정보 관리지침 재정비
       -  인사·경영정보 취급부서 대상 권한관리 교육
       -  민감정보 접근자 정기 점검
       -  내부 갈등 대응 포함한 종합 사고 대응 매뉴얼 수립
       -  개보위 신고 기준·프로세스 재정립


  관련기사(출처)  

 

감사합니다.

관련글 더보기