이씨 “명백한 보복성 인사조치...명예회복 위해 끝까지 싸울 것, 어디에도 하소연 할 곳 없어”
데일리시큐는 지난 8월 9일 <[이슈] 스타벅스, 정보보호최고책임자 대기발령·직위해제...”정당한 조치였나” 논란 불거져>라는 제하의 기사와 <[이슈] 스타벅스 보안임원 대기발령·직위해제건 결국 국민신문고에까지 올라와, 개인정보위 현장 조사 착수> 등 2건의 기사를 게재한 바 있다.
위 2건의 기사는 스타벅스코리아(대표 송 데이비드 호섭/회사명: 에스씨케이컴퍼니)가 지난 7월 28일 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)를 겸직하고 있는 이씨를 ‘직장내 괴롭힘’ 신고 피의자로 대기발령 및 직무정지 명령을 내리고 자택에 대기토록 한 건에 대한 상세 기사다.
이후 이번 건에 대한 진행상황은 다음과 같다.
◇스타벅스코리아 “신고인 주장 받아들여 CISO/CPO에 감봉 및 추가 대기발령 내려”
우선 개인정보보호위원회는 이씨가 국민신문고를 통해 신고한 스타벅스코리아의 개인정보보호 관련 보안취약점 문제 신고건에 대한 서면 및 현장조사를 진행중이다.
또 이씨에 대해서는 개인정보보호법에 명시된 ‘CPO는 정당한 이유없이 업무상 불이익을 받아서는 안된다’는 제31조 5항에 대한 위반 자료를 추가 요청한 상태다.
한편 과방위 소속 더불어민주당 조승래 의원은 제400회 정기국회에서 정용진 신세계 부회장을 증인으로 신청해 스타벅스코리아의 전반적인 정보보안 문제를 지적하고 이를 신고한 CISO/CPO에 대한 내부징계 사유와 정당성에 대해 질의하겠다고 밝힌바 있다.
이후 스타벅스코리아 측은 내부 인사위원회를 열고 9월 16일자로 이씨에 대해 감봉 통보를 전달하고, 이와함께 16일 업무상 과실 조사를 이유로 들며 추가로 다시 대기발령 통보를 이씨에게 전달했다. 즉 이씨가 피신고인에 대해 직장내 괴롭힘에 해당하는 행위를 했다고 판단한 것이다.
회사 측은 이씨가 피신고인과 통화 중 통화 내용을 녹취하고 제3자에 무단 배포했으며 통화중 폭언을 사용했다며 징계 이유를 명시했다.
여기에 추가로 업무상 과실을 이유로 추가 대기발령을 내렸지만 업무상 과실 부분은 이씨의 어떤 행위를 말하는 것인지 사유가 명확하지 않다.
또한 스타벅스코리아 관계자는 “회사의 정보보안 체계에 문제가 있다면 지적을 받는 것은 어쩔수 없다. 이 부분은 개선해 나가면 된다. 하지만 이번 CISO/CPO 대기발령 건은 피신고인(이씨)이 업무상 신고인과 통화 내용을 녹음하고 통화 과정에서 폭언도 있었다. 신세계 전략실에서 내려온 스타벅스 임원과 IT팀에서 근무하는 신고인이 피신고인을 고의로 퇴사시키기 위해 조직적으로 움직였다는 것은 전혀 사실이 아니며 회사 측 입장에서는 억울한 점이 많다”고 말했다.
◇이씨 “감봉 처분과 추가 대기발령은 명백한 보복성 인사조치”
이에 이씨는 이번 스타벅스 인사위원회의 결정은 명백한 ‘보복성 인사조치’라고 주장하고 있다.
그는 “신고자 2명중 1명에 대한 건은 인사팀 스스로가 혐의없음으로 철회했고 신고인 1명에 대한 신고건은 녹취내용 배포와 폭언을 이유로 감봉 처분을 내렸다. 녹취는 분명히 통화중 녹취를 하고 있다고 신고인에게 밝혔고 녹취내용을 업무와 관련된 임원들에게 전달한 것은 스타벅스의 보안체계 문제점을 명확히 전달하기 위해서였다. 임원들도 전후 맥락을 알아야 한다고 생각했다. 또 폭언은 억지 주장이다. 통화내용을 들어보면 알 수 있다”고 말했다.
이어 “감봉 통보에 이어 업무상 과실 등 조사 이유로 내린 추가 대기발령은 어떠한 사유도 없으며 명백한 보복성 인사조치로밖에 볼 수 없다”고 덧붙였다.
또 그는 대기발령 통보 즉시 업무 PC를 회수하고 이메일을 비롯해 회사 시스템에 접근차단, 직무정지 및 직위해제 처리는 법적으로 그리고 사내 규정에도 근거없는 처리 절차라고 주장한다. 스타벅스코리아에서 몇 차례 직장내 괴롭힘 신고 처리 사례가 있었지만 이씨처럼 적용한 사례는 없었다는 것이다.
그는 “신고자와 신고내용을 유추해보면, IT조직의 프로젝트 관리자가 보안관련 업무에 대한 과중한 압력을 받았다고 주장하고 있으며 인사팀은 일부 동조하는 듯하다. 그러나 회사 내에서는 IT조직의 보안업무 비협조 사례가 지속적으로 발생해 왔다”며 “그럼에도 불구하고 CISO/CPO의 업무를 충실히 수행하며 보안사고 예방을 위해 IT조직의 비협조를 극복해 나가려고 다방면으로 노력해 왔다. 그런데도 해당 신고자의 주장만을 일방적으로 받아들여, 정당한 업무수행을 범죄시하고 존재하지도 않는 폭언을 문제 삼아 대기발령 상태를 1개월 넘게 유지시키고 결국 감봉에 이어 다시 대기발령을 내린 것은 납득할 수 없다. 감봉 처분도 추가 대기발령도 받아들일 수 없다. 법적으로라도 끝까지 싸우겠다”고 처분의 부당함을 전했다.
거슬러 올라가면, 이번 사안은 2022년 6월 29일 스타벅스코리아 AWS 개발계에서 그리고 7월 12일 AWS 운영계에서 동일한 종류의 고위험 보안취약점이 연속적으로 발견되었고, 이에 이씨가 보안책임자로서 원인 분석과 IT조직과의 개선 협의를 진행하려는 과정에서 비롯됐다. 해당 보안취약점은 해커가 클라우드 상에 거짓 사이트를 만들어 고객의 개인정보와 금전을 탈취할 수 있는 보안취약점이다. 거액의 고객 예치금을 보유한 회사 입장에서는 매우 위험한 취약점이었다.
이에 이씨는 IT조직의 임원, 팀장, PM 등과의 3차례 협의 과정을 거치면서 상당한 인식의 차이를 발견했고, 스타벅스코리아 구성원들의 보안인식 미비를 포함한 IT거버넌스 관리체계의 부실함이 근본적인 문제의 원인이라 판단, 이의 개선을 요청하는 대표이사 보고서를 작성하던 중 발생한 사안이다.
이씨는 이번 스타벅스코리아 인사위원회에서 내린 감봉 처분에 불복 의사를 밝혔으며 추가 대기발령건은 또 어떤 식으로 진행될지 귀추가 주목된다. 그리고 이번을 계기로 신세계 그룹을 비롯한 스타벅스코리아의 보안 체계가 어떻게 변화할지 눈여겨 볼 일이다.
◇CISO/CPO, 회사 업무 충돌로 인한 인사불이익 발생시 어디에도 하소연 할 곳 없어
한편 또 하나의 문제는 CISO/CPO와 같이 조직의 보안을 총괄하는 입장에서 IT 및 일반조직과 충돌이 발생해 인사상 불이익을 받게 될 경우 어디에도 하소연할 곳이 없다는 점이다.
개인정보보호법에 CPO에 대한 보호 조항이 그나마 있어 다행이긴 하다. 하지만 과학기술정보통신부, 한국인터넷진흥원 어디에도 보안책임자들의 고충을 말하거나 들어 줄만한 곳이 없다. CISO, CPO 관련 협단체들도 마찬가지다. 실제로 CISO, CPO들의 어려움을 말할 수 있는 소통의 창구는 현재 어디에도 없다. 이씨가 마지막 하소연 할 곳으로 선택한 곳은 ‘국민신문고’와 ‘국회의원’실이었다.
[스타벅스코리아 추가 입장]
◆아래 내용은 위 기사 보도후 스타벅스코리아 측에서 추가 입장을 공식적으로 보내온 내용이다.
"제기된 주장과 내부 인사 조치는 무관하며, 직장내 괴롭힘 건으로 인한 복수의 신고가 접수되어 모든 임직원들과 동등하게 적용되는 회사 규정에 따라 신고인과 피신고인, 참고인에 대한 면밀한 조사 이후 인사위원회가 개최된 바 있다.
정보보호최고책임자 및 개인정보보호책임자로서 개인정보보호 의무가 더 엄격하게 요구됨에도 불구하고 주의를 다하지 못해 발생한 행위에 대해서 회사가 이를 엄중하게 보고 있으며 업무상 과실 등 사내규정 및 법 위반 사안에 대한 추가적인 조사가 투명하고 공정하게 진행될 예정이다."
★정보보안 대표 미디어 데일리시큐!★
