지난해 해커 공격을 받아 수백만명의 고객 개인정보를 유출한 골프존이 개인정보 보호법 위반으로 75억원 상당의 과징금 처분을 받았다. 국내 기업에 부과한 과징금 중 최대 규모다.

9일 개인정보보호위원회는 전날 전체회의를 열고 개인정보보호 법규를 위반한 골프존에 과징금 75억400만원과 과태료 540만원을 부과하고, 시정명령과 공표명령을 하기로 의결했다고 밝혔다.
 
이번 처분은 지난해 9월 시행한 개정 개인정보 보호법을 적용한 첫 사례로, 전체 매출액의 최대 3%를 과징금으로 부과했다. 개정 이후 과징금 기준이 관련 매출에서 전체 매출액으로 상향되고, 부과 대상이 오프라인 사업자로 넓어지면서 과징금 규모가 커졌다고 개인정보위는 설명했다. 

지난해 11월 골프존은 해커의 랜섬웨어 공격을 받아 업무망 내 파일서버에 보관돼 있던 임직원·서비스 이용자 221만명의 이름·전화번호·이메일·생년월일·아이디 등 개인정보가 외부로 노출됐다. 5800여명에 달하는 주민등록번호와 1600여명 계좌번호도 포함됐다. 해커는 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개하기도 했다. 

개인정보위는 골프존 사례가 매우 중대한 위반 행위에 해당한다고 봤다. 주민번호 등 개인정보가 유출됐고, 유출 정보가 다크웹에 올라와 불법적으로 활용될 수 있다는 판단에서다. 

개인정보위 조사 결과 골프존은 △안전조치 의무 △개인정보 파기 △주민번호 처리 제한 등 개인정보 보호법을 위반한 것으로 나타났다. 골프존은 전 직원이 사용하는 파일서버에 주민번호를 포함한 다량의 개인정보가 저장·공유된 사실을 인지하지 못했다. 해당 파일서버에 대한 주기적 점검 등 관리 체계도 미흡했다.

특히 코로나19로 재택근무가 급증하자 신규 가상사설망을 긴급 도입하는 과정에서 외부에서 내부 업무망에 아이디와 비밀번호만으로 접속하도록 허용하면서도 업무망 파일서버의 개인정보 유출에 필요한 안전조치를 하지 않은 것으로 드러났다.
 
이에 대해 골프존은 전년 대비 4배 규모의 정보보호 투자를 추진하겠다고 약속했다.

골프존은 이날 입장문에서 "개인정보 보호법을 준수하고 2024년 정보보호 추진계획을 수립했고, 개인인정보보호책임자를 포함한 개인정보 전문인력을 추가 충원해 개인정보 보호 조직 체계를 강화하고 있다"고 밝혔다.

이어 "올해 정보보호 투자·유지보수 예산은 약 70억원 규모로, 전년도 대비 300% 이상 증가했다"며 "앞으로 더욱더 개선된 서비스를 제공해 고객 신뢰를 회복할 수 있도록 각고의 노력을 다하겠다"고 강조했다.