지난 2026년 5월, 국내 대기업인 CJ그룹의 전·현직 여성 임직원 330여 명의 이름, 직급, 사내 전화번호, 그리고 일상 사진 등 민감한 개인정보가 보안 메신저인 텔레그램 채널을 통해 유출되는 사건이 발생했다. 해당 정보들은 월 100달러의 유료 구독형 상품으로 패키지화되어 불법 유통되었으며, 이는 단순한 정보 유출을 넘어 딥페이크 기술과 결합한 디지털 성범죄의 표적이 되었다는 점에서 학계와 산업계에 큰 충격을 주고 있다. 이번 사태는 기업의 사내망 보안 실패가 임직원의 인권 침해와 직접적인 2차 피해로 직결될 수 있음을 보여주는 대표적인 사례로 꼽힌다.
사내망 보안의 사각지대와 디지털 성범죄의 결합
과거의 기업 보안 사고가 주로 기술 유출이나 경영 기밀 확보에 초점을 맞추었다면, 최근의 보안 위협은 임직원 개개인의 신상 정보를 겨냥하는 방향으로 진화하고 있다. 특히 사내 인트라넷이나 임직원 주소록에 등록된 사진과 부서 정보는 범죄자들에게 훌륭한 '재료'가 된다. 인공지능(AI) 기술의 대중화로 누구나 손쉽게 고품질의 딥페이크 영상을 제작할 수 있게 되면서, 유출된 사진과 신상 정보는 정교한 디지털 성범죄물 제작에 악용되고 있다. 보안 전문가들은 사내망에 등록된 사진 한 장이 메신저 프로필 정보와 결합할 경우, 피해자를 특정하기 쉬운 악성 콘텐츠로 재생산되는 것은 시간문제라고 경고한다.
실제로 관련 업계에 따르면, 최근 텔레그램을 비롯한 음지 채널에서는 특정 기업이나 직군을 타깃으로 한 딥페이크 채널이 우후죽순 늘어나고 있는 추세다. 유출된 330여 명의 정보가 유료 구독 상품으로 거래된 것은 이러한 수요가 시장화 단계에 접어들었음을 시사한다. 이는 피해 임직원들에게 심각한 정신적 고통을 안겨줄 뿐만 아니라, 기업의 이미지 실추와 우수 인재 이탈이라는 경영상의 치명적인 리스크로 이어진다.
기업의 내부 정보 보호 책임과 제도적 한계
이번 사건은 기업이 임직원의 개인정보를 보호하는 데 있어 얼마나 취약한 구조를 가지고 있는지를 여실히 드러냈다. 대다수 기업은 외부 해킹 방지에는 막대한 예산을 투입하지만, 내부 직원에 의한 정보 유출이나 사내망 접근 권한 관리에 대해서는 상대적으로 온정주의적이거나 허술한 태도를 취해왔다. 현행 개인정보 보호법은 개인정보 유출 시 기업에 과징금 등의 처벌을 부과하도록 규정하고 있으나, 유출된 정보가 딥페이크 등 성범죄로 이어지는 2차 피해에 대한 기업의 선제적 방지 의무나 구체적인 가이드라인은 미비한 실정이다.
또한, 많은 기업이 사내 소통 활성화를 이유로 임직원의 사진과 연락처를 제한 없이 열람할 수 있도록 방치하고 있다. 보안 업계 관계자는 "사내 메신저나 인트라넷에서 전 직원의 프로필 사진을 한 번에 대량으로 다운로드받을 수 있는 구조 자체가 보안상의 거대한 구멍"이라며, "조회 권한을 최소화하고 비정상적인 대량 다운로드 행위를 실시간으로 탐지하는 보안 솔루션 도입이 시급하다"고 지적했다.
2차 피해 방지를 위한 선제적 대책과 전망
결국 기업의 보안 패러다임은 '기밀 보호'에서 '사람 보호'로 확장되어야 한다. 임직원의 정보가 유출되었을 때 발생할 수 있는 2차 피해를 예방하기 위해, 기업은 사내망 내 개인정보 노출 최소화 정책을 즉각 시행해야 한다. 예를 들어, 사내 주소록의 사진 노출을 선택제로 전환하거나, 워터마크 기술을 적용해 외부 유출 시 경로를 추적할 수 있도록 하는 기술적 조치가 필요하다. 아울러 임직원 정보의 무단 수집 및 유통을 상시 모니터링하는 전담 조직의 신설도 검토되어야 한다.
나아가 정부와 입법 기관 역시 기업의 내부 정보 보호 책임을 강화하는 법적 제도 정비에 속도를 내야 한다. 개인정보 유출로 인한 피해가 단순 스팸 메일 수신을 넘어 디지털 성범죄 등 심각한 사회적 위해로 이어지는 만큼, 기업이 2차 피해 방지 대책을 마련하지 않았을 경우 이에 대한 책임을 묻는 강력한 규제가 요구된다. 임직원의 안전이 곧 기업의 경쟁력이라는 인식의 대전환 없이는, 제2, 제3의 대기업 사내망 유출 사태와 그로 인한 무고한 피해자 양성을 막을 수 없을 것이다.
