221만명 개인정보 유출한 골프존, 과징금 75억원 부과
입력
수정
고객 개인정보를 허술하게 관리해 221만명의 이름과 전화번호 등을 유출한 골프존이 역대 최대 규모인 75억원의 과징금을 내게 됐다.
개인정보보호위원회는 지난 8일 제8회 전체회의를 열고 골프존에 대해 이같은 과징금과 함께 540만원의 과태료를 부과하고, 시정명령과 공표명령도 의결했다고 9일 밝혔다.실내 스크린골프연습장 업계 1위 골프존은 지난해 11월 랜섬웨어 공격을 받았다. 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 골프존 파일 서버에 접속하고는 저장된 파일을 복사해 다크웹에 공개했다.
이 과정에서 파일 서버에 보관됐던 서비스 이용자와 임직원 등 221만명의 개인정보가 유출됐다. 유출된 개인정보에는 이름과 전화번호, 이메일, 생년월일, 아이디 등이 담겼다. 주민등록번호(5831명)와 계좌번호(1647명)도 외부로 흘러나갔다.
개보위 조사 결과 골프존은 전 직원이 사용하는 파일 서버에 주민등록번호를 포함한 다량의 개인정보가 저장되고 있다는 사실을 인지하지 못했다. 파일 서버에 대한 주기적인 점검에도 소홀했던 것으로 나타났다.골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 비밀번호만으로 접속할 수 있도록 허용했다. 그러나 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하거나 필요한 안전조치를 취하지는 않았다.
이번 조사에서 골프존은 보유기간을 넘기거나 불필요해진 38만명의 개인정보를 파기하지 않고 보관했던 사실도 드러났다. 개보위는 조사결과를 토대로 골프존에 대해 개인정보 보호법상 안전조치의무 위반 과징금을 부과하고, 개인정보 파기의무를 준수하지 않은 행위에 대해선 과태료 부과를 결정했다.
이번 처분은 기업의 개인정보 보호 책임을 강화하기 위해 지난해 개정된 개인정보보호법 개정안이 적용된 첫 사례다. 해당 규정은 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향했다. 하고, 비례성이 확보되도록 과징금 산정 시 위반행위와 관련 없는 매출액을 제외하는 내용이다.개보위는 "이번 사건을 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 밝혔다.
오세성 한경닷컴 기자 sesung@hankyung.com
개인정보보호위원회는 지난 8일 제8회 전체회의를 열고 골프존에 대해 이같은 과징금과 함께 540만원의 과태료를 부과하고, 시정명령과 공표명령도 의결했다고 9일 밝혔다.실내 스크린골프연습장 업계 1위 골프존은 지난해 11월 랜섬웨어 공격을 받았다. 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 골프존 파일 서버에 접속하고는 저장된 파일을 복사해 다크웹에 공개했다.
이 과정에서 파일 서버에 보관됐던 서비스 이용자와 임직원 등 221만명의 개인정보가 유출됐다. 유출된 개인정보에는 이름과 전화번호, 이메일, 생년월일, 아이디 등이 담겼다. 주민등록번호(5831명)와 계좌번호(1647명)도 외부로 흘러나갔다.
개보위 조사 결과 골프존은 전 직원이 사용하는 파일 서버에 주민등록번호를 포함한 다량의 개인정보가 저장되고 있다는 사실을 인지하지 못했다. 파일 서버에 대한 주기적인 점검에도 소홀했던 것으로 나타났다.골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 비밀번호만으로 접속할 수 있도록 허용했다. 그러나 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하거나 필요한 안전조치를 취하지는 않았다.
이번 조사에서 골프존은 보유기간을 넘기거나 불필요해진 38만명의 개인정보를 파기하지 않고 보관했던 사실도 드러났다. 개보위는 조사결과를 토대로 골프존에 대해 개인정보 보호법상 안전조치의무 위반 과징금을 부과하고, 개인정보 파기의무를 준수하지 않은 행위에 대해선 과태료 부과를 결정했다.
이번 처분은 기업의 개인정보 보호 책임을 강화하기 위해 지난해 개정된 개인정보보호법 개정안이 적용된 첫 사례다. 해당 규정은 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향했다. 하고, 비례성이 확보되도록 과징금 산정 시 위반행위와 관련 없는 매출액을 제외하는 내용이다.개보위는 "이번 사건을 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 밝혔다.
오세성 한경닷컴 기자 sesung@hankyung.com