고객의 개인정보를 유출한 기업에 대한 처벌이 더욱 무거워졌다. 과징금을 전체 매출의 3%로 상향, 처분한 첫 사례가 나왔다.
9일 개인정보보호위원회(개인정보위)는 전날 전체 회의를 열고 개인정보보호 법규를 위반한 주식회사 골프존에 대해 총 75억400만원의 과징금과 540만원의 과태료를 부과했다고 밝혔다. 골프존에 대한 시정명령 및 공표 명령도 함께 의결됐다.
골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았다. 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원의 가상사설망 계정정보를 탈취했다. 해커는 업무망 내 파일서버에 원격 접속해 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.
이로 인해 파일서버에 보관됐던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일 아이디 등)가 유출됐다. 주민등록번호(5831명)와 계좌번호(1647명)이 유출된 사례도 있다.
개인정보위에 따르면 골프존은 개인정보보호법 관련 안전조치 의무를 위반했다. 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다. 골프존은 해커의 협박을 받고 DB를 조사했으나 유출된 사실이 없다고 판단했다. 파일서버는 확인조차 하지 않았다. 이후 파일서버에서 유출됐다는 사실을 뒤늦게 인지한 것이다. 개인정보 파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계도 미흡하게 운영했다.
강대현 개인정보위 조사1과장은 “파일서버에 골프존 전체 회원 규모의 44%인 220만건의 개인정보가 올라가 있음에도 이에 대한 점검·관리조차 되고 있지 않았다”고 지적했다.
주민등록번호 처리제한 및 개인정보 파기도 위반했다. 주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관했다. 보유기간이 경과되거나 처리 목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않았다. 현재 회원으로 확인되지 않은 이들과 임직원 중 퇴사자, 인턴사원 및 전문요원의 채용 관련 정보, 고객 응대 관련 이용자 및 점주의 개인정보 등이다.
이에 따라 안전조치의무 위반으로 과징금을 부과하고, 개인정보 파기 의무를 위반한 행위에 대해 과태료 부과가 결정됐다. △회사 내 개인정보 처리 흐름에 대한 분석을 통한 실질적 내부관리계획 수립 및 시행 △안전조치 의무 준수 △개인정보보호책임자의 위상과 역할 강화 △전 직원 대상 개인정보보호 교육 주기적 실시 등을 시정명령하고 이를 홈페이지에 공표하도록 했다.
이번 처분은 기업의 책임성 강화를 위해 개정된 개인정보보호법 규정이 실질적으로 적용된 첫 사례다. 개정법에서는 과징금의 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 4%로 상향했다. 비례성이 확보되도록 과징금 산정 시 위반행위와 관련 없는 매출액은 제외토록 했다. 이번 골프존 사례에서도 소모품 판매 등 개인정보 처리가 직접 연관되지 않은 매출은 제외됐다.
이에 더해 골프존은 국내 기업 중 개인정보보호 위반 관련 가장 많은 과징금을 받은 기업이 됐다. 해외 기업까지 포함하면 구글(692억원)과 메타(308억원)에 이어 세 번째다. 강 조사1과장은 “강화된 개정법의 영향도 있지만 위법성도 크다고 봤다”며 “과실의 정도와 유출된 개인정보의 유형, 피해 규모, 향후 영향 등을 고려했을 때 매우 중대한 위반이라고 판단했다”고 밝혔다.
골프존은 입장문을 통해 “고객에게 불편을 끼쳐드려 사과드린다”며 “올해부터는 전년 대비 4배 규모인 70억원 규모로 정보보호 투자를 적극적으로 추진하고 있다. 개인정보 전문인력도 추가 충원했다”고 설명했다.
이소연 기자 soyeon@kukinews.com