221만명 고객정보 털린 골프존…과징금 75억 '역대 최대'

개정 개인정보보호법 첫 적용

전직원 쓰는 내부망에 파일 저장
서버 정기점검 등 관리도 소홀
해킹으로 221만여 명의 개인정보를 탈취당한 골프존이 과징금 75억원을 부과받았다. 국내 업체 중 역대 최대 규모 과징금이다.

개인정보보호위원회는 지난 8일 제8회 전체 회의를 열고 개인정보보호 법규를 위반한 골프존에 과징금 75억400만원과 과태료 540만원을 부과하고 시정명령 및 공표명령을 의결했다고 9일 발표했다.
골프존은 작년 11월 해커로부터 랜섬웨어 공격을 받았다. 이 과정에서 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격으로 접속했다. 이어 파일서버에 저장된 파일을 유출해 다크웹에 공개했다. 이에 따라 업무망 내 파일서버에 보관한 221만 명 이상의 서비스 이용자 및 임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 개인정보가 유출됐다. 일부는 주민등록번호(5831명)와 계좌번호(1647명)도 빠져나갔다.

개인정보위 조사 결과 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장됐다는 사실을 인지하지 못한 것으로 나타났다. 개인정보 파일이 보관한 파일서버의 주기적 점검 등 관리체계 운영도 미흡했다.외부에서 내부 업무망에 ID와 패스워드만으로 접속할 수 있도록 허용하면서 개인정보 유출과 관련한 보안 위협을 검토하거나 필요한 안전조치를 하지 않았다는 설명이다. 주민등록번호 등을 암호화하지 않고 파일 서버에 저장·보관하고 있었던 사실도 확인됐다. 보유기간이 지나거나 처리 목적을 달성하는 등 불필요해진 최소 38만여 명의 개인정보를 파기하지 않은 위반행위도 있었다.

개인정보위는 골프존에 개인정보보호법 29조 안전조치 의무 위반으로 과징금을 부과하고, 21조 개인정보 파기 의무를 준수하지 않은 행위에 대해 과태료를 물리기로 결정했다. 내부 관리계획 수립과 시행, 안전조치 의무 준수, 전 직원 대상 주기적인 개인정보 보호 교육 등을 시정명령하고, 이런 사실을 홈페이지 등에 공표하도록 했다.

이번 처분은 작년 9월 시행된 개인정보보호법 개정안이 실질적으로 적용된 첫 사례다. 이전까지는 과징금 상한액을 위법행위와 관련된 매출의 3%로 했지만, 개정 이후에는 전체 매출의 3%로 조정하고 관련 없는 매출은 제외하기로 했다. 이전까지 국내 기업 가운데 최다 금액은 지난해 LG유플러스가 부과받은 68억원이다. 해외 기업까지 포함하면 2022년 구글이 692억원으로 최대 기록을 보유하고 있다.골프존 관계자는 “올해 정보보호 예산을 작년보다 네 배 이상 늘어난 70억원으로 책정하고 지난달 개인정보보호책임자를 영입했다”며 “정보보호 조직을 정책 및 개인정보 분야와 보안기술 분야로 나눠 확대하는 등 보안 수준 전반을 강화할 예정”이라고 설명했다.

이승우 기자 leeswoo@hankyung.com