골프존이 개인정보를 유출하고 개인정보 보호법을 제대로 준수하지 않아 개인정보보호위원회로부터 과징금·과태료 부과 처분을 받았다.
개인정보보호위원회는 8일 제8회 전체회의를 열고 개인정보보호법을 골프존에 대해 총 75억 400만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령 및 공표명령을 의결했다고 9일 밝혔다. 이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례다.
개인정보위 조사에 따르면 골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 이들은 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속해 파일서버에 저장된 파일을 외부로 유출한 뒤 다크웹에 공개했다. 파일서버에 보관돼 있던 약 221만 명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐으며 이 중 일부는 주민등록번호(5831명)와 계좌번호(1647명)도 유출됐다.
개인정보위는 골프존이 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했으며, 개인정보파일이 보관돼있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영해 ‘안전조치 의무’를 위반했다고 판단했다. 보유기관이 경과돼 보관이 불필요해진 최소 38만여명의 개인정보를 파기하지 않은 위반행위도 개인정보위 조사 결과 드러났다. 개인정보위는 "전통적으로 개인정보 처리가 많이 이뤄지는 서비스 영역뿐만 아니라 다양한 고객 정보를 취급하는 내부 업무 영역에서도 철저한 개인정보 보호조치가 적용돼야 한다는 것을 보여 준 사례”라고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >