인사평가제도인 ‘다면평가결과’ 내용 무단 유출 직원...정보통신망 침입 행위 아니다
다면평가 조사 용역 업체의 부실한 인터넷 페이지...이에 따른 추가 보호조치 없어 벌금형
대법원, 종전 암호화 방식이 아닌 연속 숫자 방식으로 누구나 접근 가능했다고 지적
[보안뉴스 이소미 기자] 매년 직원 인사관리에 활용하기 위해 직원 간 다면평가를 실시하고 있는 G사. ‘360도 평가’라고도 불리는 ‘다면평가제’는 인사 평가에 대한 공정성·객관성 확보를 위해 평가 주체를 상사 외 동료 직원 및 고객까지 동원해 최종평가에 반영하는 제도다.
[이미지=gettyimagesbank]
G사는 2019년부터 B사에 다면평가 조사 용역을 위탁했다. B사는 다면평가 온라인 조사를 진행한 뒤 2019년 12월부터 2020년 1월에 G사 소속 직원 78명의 이름·소속·평가점수·평가자의 서술평가가 기재된 다면평가 결과를 개인별로 부여된 인터넷 주소에 게시하고 직원들의 이메일과 휴대전화 문자메시지로 각 인터넷 주소를 전송했다.
그런데 G사 안전시설팀 소속 정보보안 담당자였던 직원 A씨가 2020년 1월 자신의 휴대전화로 직원 51명에 대한 다면평가 결과를 무단 열람하고 이를 캡처해 보관한 뒤 간부급 직원이었던 본부장에게 그대로 전달한 사실이 밝혀지며 G사로부터 ‘정보통신망법 위반 혐의’로 기소됐다. 이후 1·2심 법원은 A씨 혐의를 유죄로 인정해 징역 8개월에 집행유예 2년을 선고했다.
당시 A씨가 무단으로 타 직원 다면평가 결과를 열람할 수 있었던 데는 용역 업체 B사가 제작한 인터넷 결과조회 페이지가 URL 끝자리 숫자만 바꾸면 다른 직원의 결과를 쉽게 볼 수 있을 만큼 허술했던 점을 이용한 것이다. 해당 페이지 URL 주소 마지막 숫자 2자리가 본부와 팀별 직원들 순서대로 1부터 78까지 부여된 단순한 구성으로 이루어졌던 것이다.
따라서 A씨는 해당 인터넷 페이지는 별도의 로그인 절차나 개인인증 절차 없이도 접속이 가능했으며, 인터넷 주소도 암호화되어 있지 않았다. 또한, 해당 페이지 접근 권한을 평가대상자인 임직원 대상으로 제한하지 않았던 것으로 밝혀졌다.
이에 G사 감사팀은 2021년 12월, 정보보안 담당자 A씨에 대한 추가적인 징계 절차를 개시했고 인사위원회는 A씨에 대해 ‘해고’ 징계 처분을 의결했다. 이에 A씨는 서울지방노동위원회와 중앙노동위원회를 통해 부당해고 구제신청을 진행했는데, 이에 G사는 직원들의 다면평가 자료를 임의로 유출한 A씨 행위는 심각한 범죄로 해고 징계가 과다하지 않다고 주장했다.
하지만 당시 서울행정법원 재판부는 “A씨의 행위가 사회통념상 고용관계를 유지할 수 없을만큼 해고될 정도로 단정하기 어렵다”는 결론을 내리며 A씨의 손을 들어줬다. 또한, “A씨가 보안상 허점을 이용해 다면평가 정보를 저장한 것은 맞지만 컴퓨터 프로그래밍 수단 등을 이용해 보안 시스템에 적극적으로 침입했다고는 보이지 않는다”며, “해당 다면평가 프로그램의 보안은 일반 직원들도 그 허점을 알 수 있을 정도로 허술했다”고 지적했다. 이어 “보안방식을 종전 암호화 방식이 아닌 연속 숫자 방식으로 변경해 특별한 노력 없이도 다수의 사람이 쉽게 접근할 수 있게 된 모든 책임을 오로지 직원 A씨에게만 돌리기는 어렵다”고 설명하며, 직원 A씨를 해고한 것은 부당하다는 판결을 내렸다.
한편, 지난 15일 대법원 1부(주심 오경미 대법관)도 정보통신망법 위반 혐의로 기소된 A씨에게 정보통신망 침입행위로 판단해 징역 8개월에 집행유예 2년을 선고한 원심 판결을 파기하고 해당 사건을 수원지방법원으로 돌려보냈다.
이와 관련해 대법원은 “피고인이 인터넷 페이지 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 다면평가 결과가 게시된 인터넷 페이지에 접속했더라도 이를 정보통신망법 48조1항이 금지하는 정보통신망 침입 행위라고 할 수 없다”고 판결했다. 또한, 정보통신망법에 따른 타인의 비밀 침해, 누설 혐의에 대해서도 “일부 인터넷 주소를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼만한 행위를 하지 않았다”고 덧붙였다.
오히려 보안 조치를 충실히 수행하지 않은 용역업체 B사와 업체 대표도 A씨와 함께 기소됐는데, 검찰은 각각 벌금 500만원을 선고했으며 이들은 별도로 항소하지 않아 형이 확정됐다. 이는 해당 업체가 개인정보가 유출되지 않도록 안정성 확보에 필요한 조치를 진행하지 않은 혐의로 ‘개인정보보호법 위반죄’가 적용된 것으로 알려졌다.
[이소미 기자(boan4@boannews.com)]
다면평가 조사 용역 업체의 부실한 인터넷 페이지...이에 따른 추가 보호조치 없어 벌금형
대법원, 종전 암호화 방식이 아닌 연속 숫자 방식으로 누구나 접근 가능했다고 지적
[보안뉴스 이소미 기자] 매년 직원 인사관리에 활용하기 위해 직원 간 다면평가를 실시하고 있는 G사. ‘360도 평가’라고도 불리는 ‘다면평가제’는 인사 평가에 대한 공정성·객관성 확보를 위해 평가 주체를 상사 외 동료 직원 및 고객까지 동원해 최종평가에 반영하는 제도다.
[이미지=gettyimagesbank]
G사는 2019년부터 B사에 다면평가 조사 용역을 위탁했다. B사는 다면평가 온라인 조사를 진행한 뒤 2019년 12월부터 2020년 1월에 G사 소속 직원 78명의 이름·소속·평가점수·평가자의 서술평가가 기재된 다면평가 결과를 개인별로 부여된 인터넷 주소에 게시하고 직원들의 이메일과 휴대전화 문자메시지로 각 인터넷 주소를 전송했다.
그런데 G사 안전시설팀 소속 정보보안 담당자였던 직원 A씨가 2020년 1월 자신의 휴대전화로 직원 51명에 대한 다면평가 결과를 무단 열람하고 이를 캡처해 보관한 뒤 간부급 직원이었던 본부장에게 그대로 전달한 사실이 밝혀지며 G사로부터 ‘정보통신망법 위반 혐의’로 기소됐다. 이후 1·2심 법원은 A씨 혐의를 유죄로 인정해 징역 8개월에 집행유예 2년을 선고했다.
당시 A씨가 무단으로 타 직원 다면평가 결과를 열람할 수 있었던 데는 용역 업체 B사가 제작한 인터넷 결과조회 페이지가 URL 끝자리 숫자만 바꾸면 다른 직원의 결과를 쉽게 볼 수 있을 만큼 허술했던 점을 이용한 것이다. 해당 페이지 URL 주소 마지막 숫자 2자리가 본부와 팀별 직원들 순서대로 1부터 78까지 부여된 단순한 구성으로 이루어졌던 것이다.
따라서 A씨는 해당 인터넷 페이지는 별도의 로그인 절차나 개인인증 절차 없이도 접속이 가능했으며, 인터넷 주소도 암호화되어 있지 않았다. 또한, 해당 페이지 접근 권한을 평가대상자인 임직원 대상으로 제한하지 않았던 것으로 밝혀졌다.
이에 G사 감사팀은 2021년 12월, 정보보안 담당자 A씨에 대한 추가적인 징계 절차를 개시했고 인사위원회는 A씨에 대해 ‘해고’ 징계 처분을 의결했다. 이에 A씨는 서울지방노동위원회와 중앙노동위원회를 통해 부당해고 구제신청을 진행했는데, 이에 G사는 직원들의 다면평가 자료를 임의로 유출한 A씨 행위는 심각한 범죄로 해고 징계가 과다하지 않다고 주장했다.
하지만 당시 서울행정법원 재판부는 “A씨의 행위가 사회통념상 고용관계를 유지할 수 없을만큼 해고될 정도로 단정하기 어렵다”는 결론을 내리며 A씨의 손을 들어줬다. 또한, “A씨가 보안상 허점을 이용해 다면평가 정보를 저장한 것은 맞지만 컴퓨터 프로그래밍 수단 등을 이용해 보안 시스템에 적극적으로 침입했다고는 보이지 않는다”며, “해당 다면평가 프로그램의 보안은 일반 직원들도 그 허점을 알 수 있을 정도로 허술했다”고 지적했다. 이어 “보안방식을 종전 암호화 방식이 아닌 연속 숫자 방식으로 변경해 특별한 노력 없이도 다수의 사람이 쉽게 접근할 수 있게 된 모든 책임을 오로지 직원 A씨에게만 돌리기는 어렵다”고 설명하며, 직원 A씨를 해고한 것은 부당하다는 판결을 내렸다.
한편, 지난 15일 대법원 1부(주심 오경미 대법관)도 정보통신망법 위반 혐의로 기소된 A씨에게 정보통신망 침입행위로 판단해 징역 8개월에 집행유예 2년을 선고한 원심 판결을 파기하고 해당 사건을 수원지방법원으로 돌려보냈다.
이와 관련해 대법원은 “피고인이 인터넷 페이지 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 다면평가 결과가 게시된 인터넷 페이지에 접속했더라도 이를 정보통신망법 48조1항이 금지하는 정보통신망 침입 행위라고 할 수 없다”고 판결했다. 또한, 정보통신망법에 따른 타인의 비밀 침해, 누설 혐의에 대해서도 “일부 인터넷 주소를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼만한 행위를 하지 않았다”고 덧붙였다.
오히려 보안 조치를 충실히 수행하지 않은 용역업체 B사와 업체 대표도 A씨와 함께 기소됐는데, 검찰은 각각 벌금 500만원을 선고했으며 이들은 별도로 항소하지 않아 형이 확정됐다. 이는 해당 업체가 개인정보가 유출되지 않도록 안정성 확보에 필요한 조치를 진행하지 않은 혐의로 ‘개인정보보호법 위반죄’가 적용된 것으로 알려졌다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
