개인정보위는 8일 연 전체회의에서 골프존에 대해 75억400만원의 과징금과 540만원의 과태료를 부과하고, 시정·공표명령을 내리기로 의결했다고 9일 밝혔다. 사진 개인정보위 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

지난해 개인정보보호법 개정으로 강화된 ‘과징금 산정기준’이 적용된 첫 사례가 나왔다. 지난해말 이용자와 임직원 5831명의 주민등록번호를 포함해 221만명 이상의 개인정보 유출사고를 낸 골프존이 그 대상이다. ‘위반행위 관련 매출액 3%’에서 ‘전체 매출액 3%’로 상향된 과징금 상한기준에 따라, 개인정보보호위원회는 골프존에 75억원이 넘는 과징금을 부과했다. 국내 기업으로 역대 최대 액수다.

개인정보위는 8일 연 전체회의에서 골프존에 대해 75억400만원의 과징금과 540만원의 과태료를 부과하고, 시정·공표명령을 내리기로 의결했다고 9일 밝혔다. 골프존은 전직원이 이용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보를 저장해두고도 이를 인지하지도, 제대로 점검하지도 못한 것으로 드러났다. 개인정보위는 이 회사가 코로나19로 재택근무가 급증하자 가상사설망을 긴급히 도입하며 보안을 소홀히 하는 등 개인정보보호법 29조 안전조치의무와 21조 개인정보 파기의무를 준수하지 않아 ‘매우 중대한 위반’을 했다고 봤다.

골프존은 지난해 11월 랜섬웨어(해커에게 데이터를 인질잡혀 돈을 요구받는 형태) 공격을 받았고, 이 과정에서 공격자가 골프존의 서버 관리자 계정을 포함해 직원들의 가상사설망 계정정보를 탈취했다. 손쉽게 파일서버에 원격접속한 공격자는 파일서버에 저장된 파일을 외부로 유출해 다크웹(암호화된 네트워크에 존재해 특수한 경로로만 접근이 가능한 웹사이트로 유출된 개인정보 등이 거래되기도 함)에 공개했다.

개인정보위는 이러한 공격으로 골프존 이용자 및 임직원 221만명 이상의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐다고 밝혔다. 일부의 경우 주민등록번호(5831명)와 계좌번호(1647명)까지 유출됐다. 골프존이 한번 유출되면 피해가 큰 주민등록번호를 암호화하지 않은채 보관하고, 외부에서 서버로의 원격접속을 너무 쉽게 허용하고, 현재 회원이 아니거나 퇴사해서 불필요하게된 정보를 파기하지 않아 피해가 커졌다.

강대현 개인정보위 조사1과장은 “이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정한 개인정보보호법 규정이 실질적으로 적용된 첫 사례”라며 “전통적으로 개인정보 처리가 많이 이루어지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 이뤄져야 한다”고 말했다.

이에 대해 골프존 쪽은 “지난 4월 개인정보보호책임자를 영입했고 개인정보 전문인력을 추가 충원하는 등 개인정보 보호 조직체계를 강화하고 있다”며 “올해 정보보호 투자 및 유지보수 예산은 전년 대비 300% 이상 증가한 70억원 규모”라고 밝혔다.

임지선 기자 sun21@hani.co.kr