스타벅스코리아가 정보보호최고책임자/개인정보보호최고책임자를 직장내 괴롭힘 피신고인으로 대기발령 및 직위해제 처분을 내린 건이 결국 국민신문고에까지 올라갔다. 개인정보보호위원회는 이 사건에 대해 8월 24일 개인정보보호법 제31조 위반 여부 사안으로 보고 조사에 착수했다.  

데일리시큐는 지난 8월 9일 <[이슈] 스타벅스, 정보보호최고책임자 대기발령·직위해제...”정당한 조치였나” 논란 불거져>라는 제하의 기사를 통해, 스타벅스코리아(대표 송 데이비드 호섭/회사명: 에스씨케이컴퍼니)가 지난 7월 28일 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)를 겸직하고 있는 이씨(이하 CISO)를 ‘직장내 괴롭힘’ 신고 피의자로 대기발령 및 직무정지 명령을 내리고 자택에 대기토록 한 건에 대해 가장 상세히 보도한 바 있다.   

-관련 기사: 클릭

◇결국 스타벅스코리아 CISO/CPO 대기발령 건, 국민신문고에 까지 올라와

스타벅스코리아 CISO/CPO를 담당하고 있는 이씨의 국민신문고 신고 내용은 다음과 같다. 

이씨는 2020년 1월부터 스타벅스코리아에 재직중이며 현재 CISO/CPO를 맡고 있다. 

스타벅스코리아는 2년전부터 AWS/GCP 등 퍼블릭 클라우드 인프라에서 일부 서비스를 운영하고 있으며, 현재는 대고객 웹·앱 서비스 전체를 연말까지 순차적으로 이관하고 있다. 50% 이상 진행된 상황이다.  

하지만 6월 말부터 AWS 개발계·운영계에서 연속적으로 동일한 민감한 보안 취약점이 발생했고, CISO는 원인분석을 통해서 스타벅스코리아 IT거버넌스 전체의 부실함이 원인이라 판단, 대표이사 보고를 준비 중이었다. 

7월 21일 전후 IT업무관리 개선문제로 기획담당임원, IT팀장, IT파트장과 미팅에서 여러 차례 의견차이가 있었고, 정식으로 ‘개선 요청 보고서’를 작성해 담당 임원에게 7월 24일에 보고한 상태였다. 

이후 7월 28일, 대표이사 보고 직전, '직장내 괴롭힘' 신고를 받았다고 일방향으로 통보 받고, 그 자리에서 즉시 PC 반납 및 이메일을 포함한 시스템 접근권한 정지/대기발령/직무정지(직위해제) 처리되었다. 처리는 신고내용에 대한 통보나 아무런 사실여부 확인 없이 이루어졌다. 

그는 법적으로나 사내 규정 근거도, 기존 전례도 없이 회사가 임의로 수행한 처리과정이라고 주장했다. 

이에 이씨는 “해당 과정은 CISO/CPO의 역할과 지위를 규정한 정보통신망법 제45조의 3 그리고 개인정보보호법 제31조에 대한 위반 및 ‘CPO는 정당한 이유없이 업무상 불이익을 받아서는 안된다’는 제31조 5항에 대한 명백한 위반행위다. 또한 근로기준법 제76조의3의 '직장내 괴롭힘' 처리절차를 회사가 자의적으로 확대 해석한 부당한 조치라고 판단된다”고 신고 이유를 밝혔다. 

◇개인정보보호위원회, 스타벅스코리아 상대로 철저한 현장 조사 착수

개인정보보호위원회는 해당 신고 내용을 8월 19일 접수했고 8월 24일 “국민신문고를 통해 신청한 민원에 대해 검토 결과, 민원 내용은 개인정보보호법 제31조 위반 여부 등에 관한 사항으로 이해된다”고 전했다. 

개인정보보호위원회 측은 데일리시큐와 전화통화에서 “해당 신고건은 조사중이다. 현재 조사조정국에서 조사에 착수한 만큼 현장 조사를 통해 면밀히 조사가 이루어질 예정이다. 결과에 따라 과태료, 과징금 등 처분이 내려질 수 있기 때문에 잘못된 판단으로 무고한 피해가 없도록 철저히 조사할 예정이다. 다만 조사 과정이나 상세 내용에 대해서는 밝힐 수 없다”고 말했다. 

이에 스타벅스코리아 측은 “직장내 괴롭힘 신고자도 이번 건에 대해 상당히 괴로워하고 있다. 사내에서 발생한 인사 문제일 뿐이다. 스타벅스코리아의 구조적인 문제 혹은 신세계 그룹과 연결된 문제 등으로 확대 해석하지 않았으면 좋겠다. 현재 신고인과 피신고인(CISO)을 대상으로 대면 조사가 이루어졌고 조사 결과를 토대로 인사위원회가 열릴 예정이다”라고 전했다. 

한편 이씨는 이번 사안에 대해 국민신문고를 통해 과학기술정보통신부와 고용노동부에도 부당해고 등 구제신청서를 제출한 상태다. 

과학기술정보통신부는 CISO에 대한 보호 조항이 없어 이 건에 대해 미온적으로 보인다. 고용노동부는 절차에 따라 조사를 진행할 예정이다. 

◇”퇴사직원까지 조사...부당한 인사조치 인정하고 사과 및 원직복직 요구”

스타벅스코리아는 조사 과정에서 CISO 조직에 근무하다 퇴사한 직원까지 조사한 것으로 드러났다. 

이씨는 “회사 측에서 신고인에 한정해서 조사를 진행한다고 말하면서도 뒤에서는 퇴사자까지 조사를 하고 있었다는 것을 알게 됐다. 조사 당시 해당 퇴사자는 명확히 회사의 구조적 문제점 때문에 퇴사했다고 말한 것으로 확인했다”며 “또 회사는 대기발령전 피신고인에 대해 신고내용의 사실여부를 확인도 하지 않았고 PC 회수 및 이메일/시스템 접근 차단이 일반적이라고 했지만, 유사한 사건을 살펴본 결과, 이런 식으로 처리는 지금까지 한 건도 없었다는 것을 알게 됐다. 이 내용 또한 노동부 신고에 적시했다”고 밝혔다. 

그는 “정당한 CISO/CPO 업무를 성실히 수행하고 있는 보안임원을 부당하게 대기발령 및 직위해제 한 건에 대해 회사는 부당한 처분임을 인정하고 원직 복직 및 CISO/CPO로서 실추된 명예 회복을 위해 회사 내외부적으로 공식적인 사과를 원한다”고 강조했다. 

◇스타벅스코리아, 신세계 전략실 출신 인력들이 요직에 배치돼

스타벅스코리아는 2021년 12월부로 회사명을 SCK Company로 변경한 바 있다. 본사는 400여 명의 직원이 근무하고 매장은 총 1,750여 개, 2만 명의 파트너가 근무하고 있는 회사다. 

현재 송 데이비드 호섭(데이빗) 대표는 캐나다 국적의 교포이며 임원은 총 11명으로 구성돼 있다. 이 중 신세계 전략실 출신은 2명, 계열사 출신이 1명을 차지한다. 한편 CISO/CPO직은 부장급이다. 

2019년 중반부터 2020년 말까지, 신세계 전략실 및 계열사에서 스타벅스 주요 요직인 인사팀과 감사팀에 인력 배치가 이루어졌다. 

이번 스타벅스코리아가 CISO/CPO에 대한 ‘직장내 괴롭힘’으로 대기발령, 직위해제 명령을 내린 건은 이제 개인정보보호위원회와 고용노동부, 과학기술정보통신부의 조사로까지 확대됐다. 스타벅스코리아 인사위원회에서 어떤 처분 결과가 나오든 관련 기관의 조사 결과가 큰 파장을 불러 일으킬 전망이다. 이번 건으로 스타벅스코리아를 비롯한 신세계 그룹 전체의 보안조직에 어떤 변화가 올지 그리고 CISO/CPO에 대한 처분 결과가 어떻게 이루어질지 귀추가 주목된다. 

★정보보안 대표 미디어 데일리시큐!★