2026년 5월 CJ그룹에서 드러난 여성 직원 정보유출 사건으로 사회적 공분이 일고 있다. 

이번 사건은 CJ그룹의 전·현직 20~30대 여성 직원 330여 명의 개인정보가 유출돼 텔레그램 채널을 통해 유포된 것이 핵심이다. 유출된 정보에는 이름, 사진, 이메일, 소속 계열사, 부서, 사내 전화번호, 휴대전화 번호, 직급 등 상세한 인사정보가 포함됐다. 아울러 피해자들이 카카오톡에 올린 사진 2천여 장도 휴대전화 번호를 통해 조회된 후 공유된 것으로 알려졌다. 

해당 텔레그램 채널은 2023년 5월 개설돼 약 2800명이 참여한 곳으로 확인됐다. 아울러 해당 채널의 소유권이 가상화폐로 두 차례 거래된 사실도 밝혀졌다. 유출된 정보가 ‘유료 구독’ 형태로 거래됐을 가능성도 크다. 

CJ그룹은 외부 해킹이 아닌 내부 직원의 소행일 가능성에 무게를 두고 내부조사를 실시했다. 그 결과 그룹에서 일한 이력이 있는 직원 1명을 유출 책임자로 특정하고 경찰에 고발했다. 이 사건은 서울경찰청 사이버범죄수사대에서 수사 중이다. 

이번 사건은 회사의 안일한 보안시스템과 젠더감수성이 결여된 사내 조직문화가 어우러져 발생했다는 점에서 사안의 특이성이 있다. 

◆ 허술한 보안시스템 

우선 이 사건은 ‘외부 침입’이 아닌 ‘내부 유출’로 발생했다. 다른 기업의 개인정보 유출 사건과 그 성격이 다르다. 즉, 회사의 보안시스템에서 ‘내부자 위협’ 관리에 실패한 것이다. 

이에 대해서는 ‘이상현상(anomaly)’을 잡아내는 시스템이 제대로 작동하지 않았거나 아예 부재했던 것 아니냐는 추측이 나온다. 특정 개인이 수백 명의 프로필을 연속적으로 조회하고 대량 다운로드하는 등 비정상적 접근이 이뤄졌는데도 시스템이 이를 감지하지 못한 것이다. 

개인정보에 대한 ‘보안 레이어’도 누락됐을 가능성이 제기된다. 보안 레이어는 정보나 시스템을 보호하기 위해 다중으로 구축하는 방어 체계를 뜻한다. 사내 컴퓨터나 모바일 앱에서 임직원 정보를 무단으로 캡처하거나 텍스트를 추출할 수 없도록 하는 스크린 워터마크, 또는 캡처 방지 솔루션이 없거나 무력화됐을 가능성이 높은 것으로 추측된다. 

아울러 직원이 업무상 필요한 정보에만 접근하도록 하는 ‘최소 권한 원칙’이 제대로 작동하지 않았을 것이라는 지적도 나온다. 

◆ 2차 가해가 드러낸 성차별적 조직문화

이 사건은 300명이 넘는 피해자가 모두 여성이라는 점에서 철저하게 여성만을 목표로 삼은 ‘젠더 기반 성범죄’일 확률이 높다. 사회 전반의 여성혐오 문화가 기업이라는 공간을 거쳐 디지털 공간에서 그대로 재현된 모양새다. 

2차 가해도 지속해서 벌어진 것으로 전해진다. 언론보도를 종합하면, 피해자들은 회사 상급자나 동료들로부터 “네가 미녀라 대표로 털린 거다”, “어리니까 당했다”, “사진 보고 뽑은 거 아니냐”, “330명 안에 들었으니 로또 사라” 등의 발언을 들은 것으로 알려졌다. 한 피해자가 ‘블라인드’에 회사의 대책 마련을 촉구하는 글을 올리자 “한탕 해서 회사로부터 돈을 뜯어내려 한다”는 취지의 직원 댓글이 달리기도 했다. 

이 같은 상황은 조직 성원들의 성인지감수성이 부족하고 여성 직원들을 바라보는 시선이 왜곡돼 있음을 드러낸다. 아울러 피해자들이 정당한 목소리를 내지 못하고 고립된 상황도 반영한다. 

회사의 후속 조치도 미흡했던 것으로 보인다. 언론보도에 따르면, CJ그룹 계열사들은 이 사건이 언론을 통해 알려진 다음 날 피해자들에게 개인정보 유출 사실을 처음 공지하고 유출된 정보의 종류를 확인해 줬다. 하지만 개인적인 사진까지 유출된 사실은 알리지 않았고, 사후 사진 유출을 확인한 직원들이 이에 항의하자 내부망에 있는 사진이 유출된 게 아니기 때문이라는 취지로 해명했다고 한다. 아울러 사건 경위, 사후 조치 방향, 추가 피해를 방지하기 위한 해결책 등에 대한 언급도 없었던 것으로 전해진다. 

이와 관련해서는 회사의 보안 허점으로 정보가 유출된 데 따른 2차 피해라면 근본적인 책임은 명백하게 회사에 있다는 지적이 나온다. 사진 등의 정보가 회사 시스템에서 유출되지 않았다는 이유로 그 책임을 회피하는 것은 사건의 파장을 축소하려는 시도라는 비판이 가능하다. 

◆ 추가 피해 없도록 온 힘 다해야

이번 사건은 기술적으로 허술한 보안 시스템과 조직 내 성차별적 문화가 결합된 사고로 요약될 수 있다. 특히 여성을 대상으로 하는 정보 유출이 상당 기간 동안 의도적으로 진행됐다는 점에서, 단순한 보안 사고가 아니라 ‘젠더 기반 디지털 성범죄’ 사건으로 정의해야 한다. 

최근 몇 년간 한국 사회에서는 n번방, 박사방 사건 등 디지털 공간을 기반으로 하는 성착취 사건이 계속됐다. 그 충격이 가라앉지 않은 상태에서 이 같은 사건이 다시 일어난 것은 성평등 문화 정착까지 가야 할 길이 얼마나 먼지 보여준다. 피해자들을 사지로 몰아넣는 디지털 성폭력에 대한 경각심을 새롭게하는 계기가 돼야 한다. 

CJ그룹은 이 사건을 ‘피해자 중심’으로 해결하고자 노력해야 한다. 2차 가해를 막고, 피해자 보호와 지원 방안을 적극적으로 마련하고, 모든 진행 상황을 투명하게 공개해야 한다. 유출된 정보의 추가 확산 등 피해가 더욱 늘어나지 않도록 수사당국과 적극적으로 협력해야 한다. 사건을 축소하려는 어떠한 시도도 정당하지 않다.