개인정보위, ‘221만 명 개인정보 유출’ 골프존에 과징금 75억 원 부과

지난해 11월 해커 공격을 받아 221만 명의 개인 정보가 유출된 스크린골프 업체 '골프존'이 75억 원의 과징금을 물게 됐습니다.

개인정보보호위원회는 어제(8일) 제8회 전체회의를 열고, 안전조치의무 등을 위반한 골프존에 75억 4백만 원의 과징금과 540만 원의 과태료를 부과하기로 의결했다고 밝혔습니다.

과징금 상한액을 전체 매출액의 3%로 상향한 개정 개인정보보호법 규정이 적용된 첫 사례입니다.

앞서 골프존은 지난해 11월 해커에 의해 랜섬웨어 공격을 받아, 고객과 임직원 등 221만 명의 이름과 전화번호, 생년월일 등 개인정보가 유출됐습니다. 유출된 개인정보에는 5천8백여 명의 주민등록번호와 1,600여 명의 계좌번호도 있습니다. 해커는 이를 다크웹에 공개하기도 했습니다.

개보위 조사 결과, 골프존은 코로나19로 재택 근무가 급증하자 새로운 가상사설망, VPN을 도입했는데 외부에서 내부망에 접속할 때 ID와 비밀번호만으로도 접속할 수 있었습니다.

또, 외부에서 원격접속으로도 내부 서버에 접속할 수 있었고, 업무망 내 모든 서버의 인터넷 통신도 허용돼 내부망에 접근하면 모든 서버에 접근이 가능했던 겁니다.

이로 인해 해커는 탈취한 서버 관리자의 계정으로 가상사설망에 들어가 내부 파일 서버에 접속해 골프존 고객과 임직원의 개인정보를 빼간 것으로 조사됐습니다.

거기다 내부망에 있는 파일서버에는 다량의 개인정보를 저장, 공유하고 있었고 전 직원이 접근할 수 있었는데도 주기적인 점검이 미흡했던 것으로 드러났습니다.

또, 주민등록번호 등을 암호화하지 않았고, 보유 기간이 경과하거나 처리 목적을 달성해 더 이상 필요하지 않은 38만여 명의 개인정보도 파기하지 않고 보관하고 있었습니다.

강대현 개인정보위 조사1과장은 "랜섬웨어 협박을 당한 직후 내부 업무망에 대해 점검을 전혀 하지 않았던 것이 이번 사건의 근본적인 원인"이라며 "골프존 회원의 44%에 달하는 220만건의 개인정보에 대한 보호 조치를 하지 않았고, 개인정보가 내부 업무망에 보관된 사실 자체를 인지하지 못했다"고 지적했습니다.

골프존은 "고객분들에게 불편 끼쳐드린 점 사과 드린다"라며 "올해부터 정보보호 추진계획 수립해 전년 대비 4배 규모의 정보 보호 투자를 적극적으로 추진하고 있다"라고 밝히고, 개인정보보호책임자를 포함한 개인정보 전문인력을 추가 충원해 개인정보 보호 조직 체계를 강화해 고객의 신뢰를 회복할 수 있도록 노력을 다하겠다고 덧붙였습니다.

[사진 출처 : 연합뉴스 / 골프존 제공]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

신지수 기자 (js@kbs.co.kr)