스타벅스코리아(대표 송 데이비드 호섭 / 에스씨케이컴퍼니)가 지난 7월 28일 정보보호최고책임자(CISO) 및 개인정보보호책임자(CPO)를 겸직하고 있는 이씨(이하 CISO)를 대기발령 및 직위해제 명령을 내리고 자택에 대기토록 했다.  

스타벅스코리아(이하 스타벅스/STARBUCKS)는 본사조직 400명, 직영매장 1,750개, 2만명의 파트너들이 근무하고 있으며 이마트(대표 강희석)가 최대 주주다. 지난해 매출은 2조3천억에 달한다. 

이러한 국내 최대 커피브랜드 기업인 스타벅스에서 최근 정보보호를 책임지고 있는 CISO/CPO를 이해할 수 없는 이유와 과정으로 직위해제하고 대기발령을 내려 논란이 일고 있다. 

◇스타벅스, CISO·CPO를 ‘직장내 괴롭힘’ 신고로 직무정지시킨 과정

데일리시큐는 직위해제 당한 이씨를 최근 만나 그 이유와 과정에 대해 인터뷰를 진행했다. 과정을 정리하면 이렇다. 

스타벅스는 2년 전부터 AWS 퍼블릭 클라우드에서 일부 서비스를 운영하고 있으며 대고객 웹과 앱 서비스를 올해 연말까지 순차적으로 이관하는 중이었다. 

한편 6월말부터 AWS 개발계와 운영계에서 연속적으로 크리티컬한 보안취약점이 발생했으며 CISO는 원인분석을 통해 스타벅스 IT거버넌스 전체의 부실함이 원인이라고 판단하고 대표이사를 비롯한 임원진에게 상세한 내부보고를 진행하려고 준비했다. 

하지만 송 데이비드 호섭 대표이사에게 IT 및 보안 문제에 대한 보고를 진행하려던 직전, 7월 28일 ‘직장내 괴롭힘’ 신고가 들어왔다며 인사팀에서 대기발령 및 직무정지(직위해제) 통보를 일방적으로 받게 됐다. 

스타벅스 인사팀은 해당 CISO에게 어떤 사유의 직장내 괴롭힘이었는지 내용 공유 및 사실 여부 확인도 없이 CISO의 업무 PC를 반납시키고 회사 시스템 접근권한 정지를 명령하며 자택에 대기할 것을 일방 통보했다. 

◇스타벅스 IT거버넌스 체계 문제 개선 요청...반응은 “월권행위 하지마” 

CISO는 “스타벅스 고객에게 직접적인 피해가 갈 수 있는 서비스들에서 지속적으로 민감한 보안문제가 발생하는 상황이었다. 이 문제는 클라우드로 이관 과정에서 발생하는 문제를 넘어 IT거버넌스 체계의 전반적인 문제 때문에 발생하는 문제라고 판단했다”며 “이후 여러차례 IT업무관리 개선 문제로 담당 임직원들과 의견을 나눴지만 개선에 대한 의지는 커녕 오히려 보안조직이 IT조직에 대한 월권행위를 하고 있다고 반응했다. ‘직장내 괴롭힘’ 신고는 이 과정에서 나온 것이라고 추측한다”고 말했다. 

이어 그는 “조직의 심각한 보안문제를 해결하기 위해 IT거번넌스 체계를 개선하자는 것은 CISO로서 당연히 대표이사 및 임원들에게 요청할 수 있는 부분이다. 계속해서 발생하는 보안취약점을 몇명 안되는 보안팀에서 아무리 막아봐야 근본적인 문제를 해결하지 않으면 언젠가는 대형 보안사고로 이어질 수 있다고 판단했다”고 심경을 밝혔다. 

◇신고 13일이 지났음에도 CISO에 대한 조사 및 해명기회도 없어

이에 스타벅스 측은 “이번 CISO에 대한 조치는 ‘직장내 괴롭힘’ 신고가 들어오면 즉시 피해자와 가해자를 분리조치해야 하는 규정 때문이다”라며 “현재 양측에 대해 조사를 진행중이며 조사결과가 나와 봐야 명확한 상황을 공개할 수 있다”고만 밝혔다. 

하지만 확인결과, 스타벅스 측은 7월 28일 CISO에게 직무정지 명령을 내린 후 8월 9일 현재 13일이 지난 상황임에도 불구하고 어떠한 조사도 진행하지 않고 있다. 

CISO는 어떤 내용으로 직장내 괴롭힘 신고를 당했는지도 알지 못하고 있으며 CISO가 소명할 수 있는 기회조차 주지 않고 방치하고 있는 상황이다. 1차적으로 사측에서 신고자와 피신고자를 조사한 후 분리조치 및 추가 조사를 신속히 진행해야 함에도 불구하고 스타벅스 측은 납득할 수 없는 조치를 취하고 있는 상황이다. 

한편 개인정보보호위원회(위원장 윤종인) 관계자도 “개인정보보호법 제31조 5항에 따르면 개인정보처리자는 개인정보보호책임자가 업무를 수행함에 있어서 정당한 이유없이 불이익을 주거나 받게 해서는 안된다고 명시하고 있다”며 “개인정보보호 관련 업무상 IT팀과 의견충돌로 발생한 문제라면 CPO에게 불이익을 주면 안된다”고 밝혔다. 

◇스타벅스 보안문제, 신세계 계열 전체의 보안인식 부족이 원인일 수도

스타벅스는 지난 2018년 앱 업데이트 과정에서 고객 개인정보가 유출돼 과태료 처분을 받은 바 있고 2019년에도 개인정보 유출사건이 있었다. 더불어 지속적으로 보안취약점이 발생하고 있음에도 불구하고 보안팀은 개인정보보호 업무까지 포함해서 총 4명이다. CISO까지 포함한 인력이다. 한편 스타벅스 CISO/CPO는 임원급이 아니라 부장급이다. 이 또한 규정위반이다. 매출액 2조가 넘는 기업에서 정보보안/개인정보보호 인력이 총 4명. 이런 상황에 보안강화를 위해 IT거버넌스 체계를 개선하자고 요청한 CISO를 ‘괴롭힘’ 신고로 직무정지 시키는 스타벅스.

또한 CISO 커뮤니티에서는 신세계 계열 기업 모두가 보안 투자에 미흡하다는 것이 중론이다. 정보보호 공시 내용을 살펴보면, 정보보호 내부전담인력 기준 (주)신세계는 3명, (주)신세계인터내셔날도 3명, (주)신세계푸드 1명, 신세계디에프 1명, 그리고 스타벅스 최대 주주인 이마트도 4명에 불과하다. 국내 최대 유통기업인 신세계 계열이 모두 보안 투자에 미흡하다는 것을 간접적으로 알 수 있는 대목이다. 

또 다른 신세계 관계자에 따르면, 신세계 전략실 출신들이 스타벅스의 실질적인 경영 권력을 장악하고 매출증대에만 신경을 쓰고 있어 보안은 상대적으로 소홀히 하고 있다는 말도 나오고 있다. 

◇”스타벅스 보안문제는 결국 고객들의 피해로 이어져...개선 이루어지길 기대”

현재 직무정지 상태인 스타벅스 CISO는 “신고자의 말만 100프로 믿고 어떠한 소명 기회도 없이 일방적인 통보를 받고 직무정지와 대기발령 상태를 유지하라고 하는 것은 부당한 조치라고 생각한다”고 말했다. 

이어 그는 “사태 발생 초기에는 당혹감과 함께, 보안업무를 담당하는 직업적 자존심에 상처를 입었다고 느꼈다. 하지만 지금은 안타까운 감정이다. 스타벅스와 같은 거대한 조직이 IT거버넌스 체계가 무너져 보안 문제가 발생한다면 결국 직접적인 피해를 보는 것은 스타벅스의 900만 고객들이며 열심히 매장에서 땀흘려 일하고 있는 2만여 명의 파트너들”이라며 “이번 사건을 계기로 스타벅스 고객들이 장애 없고 보안사고 없는 안전한 서비스를 누리고, 특히 일선의 매장 파트너들이 정상적인 근무환경에서 정당한 권리를 보장받으며 일할 수 있는 회사로 변화될 수 있길 기대한다”고 덧붙였다. 

현재 이번 사안은 과학기술정보통신부(장관 이종호)에서도 인지하고 있다. 만약 조사결과, 조직의 이익을 위해 정보보호최고책임자로서 역할을 충실히 수행하려고 노력하는 책임자를 ‘직장내 괴롭힘’이라는 올가미를 씌워 옥죄는 것은 부당한 처사로 보여진다. 데일리시큐는 스타벅스 측의 피신고인 조사 결과를 기다리고 있으며 조사 결과 및 스타벅스의 CISO에 대한 조치 등에 대해 지속적인 취재를 통해 기사화할 예정이다.  

★정보보안 대표 미디어 데일리시큐!★