개보위, 수백만명 개인정보 유출한 골프존에 과징금 75억 부과

고학수 개인정보보호위원회 위원장이 8일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제8회 개인정보위 전체회의에서 의사봉을 두드리고 있다. [사진=개인정보보호위원회]

지난해 해커 공격을 받아 수백만명의 고객 개인정보를 유출한 골프존이 개인정보 보호법 위반으로 75억원 상당의 과징금 처분을 받았다. 국내 기업에 부과한 과징금 중 최대 규모다.

9일 개인정보보호위원회는 전날 전체회의를 열고 개인정보보호 법규를 위반한 골프존에 과징금 75억400만원과 과태료 540만원을 부과하고, 시정명령과 공표명령을 하기로 의결했다고 밝혔다.
 

이번 처분은 지난해 9월 시행한 개정 개인정보 보호법을 적용한 첫 사례로, 전체 매출액의 최대 3%를 과징금으로 부과했다. 개정 이후 과징금 기준이 관련 매출에서 전체 매출액으로 상향되고, 부과 대상이 오프라인 사업자로 넓어지면서 과징금 규모가 커졌다고 개인정보위는 설명했다. 

지난해 11월 골프존은 해커의 랜섬웨어 공격을 받아 업무망 내 파일서버에 보관돼 있던 임직원·서비스 이용자 221만명의 이름·전화번호·이메일·생년월일·아이디 등 개인정보가 외부로 노출됐다. 5800여명에 달하는 주민등록번호와 1600여명 계좌번호도 포함됐다. 해커는 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개하기도 했다. 

개인정보위는 골프존 사례가 매우 중대한 위반 행위에 해당한다고 봤다. 주민번호 등 개인정보가 유출됐고, 유출 정보가 다크웹에 올라와 불법적으로 활용될 수 있다는 판단에서다. 

개인정보위 조사 결과 골프존은 △안전조치 의무 △개인정보 파기 △주민번호 처리 제한 등 개인정보 보호법을 위반한 것으로 나타났다. 골프존은 전 직원이 사용하는 파일서버에 주민번호를 포함한 다량의 개인정보가 저장·공유된 사실을 인지하지 못했다. 해당 파일서버에 대한 주기적 점검 등 관리 체계도 미흡했다.

특히 코로나19로 재택근무가 급증하자 신규 가상사설망을 긴급 도입하는 과정에서 외부에서 내부 업무망에 아이디와 비밀번호만으로 접속하도록 허용하면서도 업무망 파일서버의 개인정보 유출에 필요한 안전조치를 하지 않은 것으로 드러났다.