221만명 개인정보 유출 골프존 ‘과징금 75억원’

개정된 개인정보보호법 첫 적용
과태료 540만원에 시정명령도

국내 스크린골프 업계 1위인 ‘골프존’이 개인정보보호 법규 위반으로 수십억 원대 과징금과 과태료를 물게 됐다. 지난해 개인정보 취급 기업의 책임을 강화하기 위해 개정된 ‘개인정보보호법’ 첫 적용 사례다.

개인정보보호위원회는 8일 오전 전체회의를 열고 골프존에 대한 과징금 75억 원 및 과태료 540만 원 부과와 시정 및 공표 명령을 의결했다고 9일 밝혔다. 골프존은 지난해 11월 랜섬웨어 공격을 받았다. 해커들은 서버 관리자를 포함해 골프존 직원들의 가상사설망 계정 정보를 빼내 업무망 내 파일서버에 원격접속한 뒤 파일을 다크웹에 공개했다. 이로 인해 파일서버에 보관돼 있던 약 221만 명 이상의 서비스 이용자와 임직원의 이름·전화번호·이메일·생년월일 등 개인정보가 무더기로 유출됐다. 여기에는 5831명의 주민등록번호와 1647명의 계좌번호도 포함됐다.

개인정보위가 개인정보보호법 준수 여부를 조사한 결과, 골프존은 안전조치 의무와 주민등록번호 처리 제한 및 개인정보 파기 의무를 위반한 것으로 드러났다. 우선 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실 자체를 인지하지 못했을 뿐 아니라 파일서버 주기적 점검 등 관리 체계에서도 미흡한 운영이 드러났다. 이 회사는 코로나19로 재택근무가 급증하자 새로운 가상사설망(VPN)을 도입했는데 외부에서 내부 업무망에 아이디와 패스워드만으로도 접속이 가능토록 하면서 개인정보 유출 관련 보안 위협에 대해선 제대로 대응하지 못한 것으로 나타났다. 아울러, 주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었다. 특히 준회원·퇴사자·인턴 등 불필요하게 된 38만여 명의 개인정보를 파기하지 않고 그대로 뒀다. 개인정보위 관계자는 “과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하는 등의 개정된 개인정보보호법 규정이 실질적으로 적용된 첫 사례”라고 말했다.

박수진·구혁 기자