'221만명 개인정보 유출' 골프존 75억 과징금 제재…국내 기업 중 최고액
등록 2024.05.09 12:00:00수정 2024.05.09 15:52:54
개인정보위, 골프존에 과징금 75억, 과태료 540만원 및 시정명령 부과
전 직원이 사용하는 파일서버에 주민번호 포함 다량 개인정보 저장·공유
개정 개인정보보호법 규정 적용한 첫 사례
![[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회 위원장이 8일 서울 종로구 정부서울청사에서 열린 제8회 개인정보보호위원회(개인정보위) 전체회의에 참석해 발언하고 있다. 2024.05.08. kmx1105@newsis.com](http://image.newsis.com/2024/05/08/NISI20240508_0020332305_web.jpg?rnd=20240508142308)
[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회 위원장이 8일 서울 종로구 정부서울청사에서 열린 제8회 개인정보보호위원회(개인정보위) 전체회의에 참석해 발언하고 있다. 2024.05.08. [email protected]
[서울=뉴시스]송혜리 기자 = 지난해 해킹공격을 받아 약 221만명 이상의 이용자·임직원 개인정보가 유출된 골프존이 과징금 75억원을 물게 됐다.
이는 그간 개인정보보보호 법규를 위반한 국내 기업 중 가장 많은 액수의 과징금 규모다.
주무부처인 개인정보보호위원회(이하 개인정보위)는 골프존이 매우 중대한 위반 행위를 저질렀다고 판단했다. 특히 이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정한 개인정보보호법 규정이 실질적으로 적용된 첫 사례다.
개인정보위는 9일 개인정보보호법을 위반한 골프존을 상대로 총 75억400만원의 과징금과 540만원의 과태료를 부과하고, 동시에 시정명령·공표명령을 의결했다고 밝혔다.
개인정보위에 따르면 골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 이 과정에서 해커는 알 수 없는 방법으로 회사 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속했다. 이후 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.
이로 인해 업무망 내 파일서버에 보관돼 있던 약 221만명 이상의 이용자·임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 개인정보가 유출됐다. 이 중 5831명은 주민등록번호, 1647명은 계좌번호까지도 유출됐다.
개인정보위 조사 결과, 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다. 또 개인정보 파일이 보관돼있는 파일서버에 대한 주기적 점검 등 관리체계도 미흡하게 운영한 것으로 밝혀졌다.
구체적으로 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 아이디(ID)와 패스워드(PW)만으로 접속할 수 있도록 허용했다. 그러면서도 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다.
이로 인해 외부에서 내부 서버에 원격접속이 되는 등 불필요한 접근이 허용됐고, 또 서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 개인정보 유출을 방지하기 위한 안전조치가 허술했다.
게다가 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었다. 보유기간이 경과되거나,
보유하지 않아도 되는 최소 38만여명의 개인정보도 파기하지 않고 그대로 보관하고 있었다고 개보위는 설명했다.
개인정보위는 골프존에 안전조치의무 위반으로 과징금을 부과하고, 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.
또 ▲회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립·시행 ▲공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 ▲개인정보보호책임자의 위상과 역할 강화 ▲전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령한 동시에, 이러한 사실을 홈페이지 등에 공표하도록 명령했다.
개인정보위는 "전통적으로 개인정보 처리가 많이 이뤄지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용되어야 함을 강조한 사례"라며 "이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 강조했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
