“골프 치다 개인정보 털렸다”… 골프존, 관리 소홀로 221만명 정보 유출

해킹공격을 받아 약 221만명 이상의 이용자·임직원 개인정보가 유출된 ‘골프존’이 과징금 75억원을 물게 됐다. 이는 개인정보보보호 법규를 위반한 국내 기업 중 가장 많은 액수의 과징금 규모다.

개인정보보호위원회는 8일 제8회 전체회의에서 이러한 내용을 의결했다고 9일 밝혔다.

실내 스크린골프연습장 분야 업계 1위인 골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았다. 랜섬웨어는 악성 소프트웨어로 데이터나 PC 등을 암호화한 뒤 이를 풀려면 보상을 요구하는 형태의 공격이다.

이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격 접속한 뒤 이곳에 저장된 파일을 외부로 유출했다. 이후 유출한 정보를 다크웹에 공개했다.

이에 따라 업무망 내 파일서버에 보관됐던 221만여명의 서비스 이용자와 임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 각종 개인정보가 유출됐다.

또한 5831명의 주민등록번호와 1647명의 계좌번호도 외부로 흘러 나갔다.

골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망을 급하게 도입하면서 전반적인 점검·관리를 소홀히 했고, 개인정보 암호화 보관과 불필요한 개인정보 파기 의무도 어겼다. 사고 당시 골프존은 “고객정보 유출이 없었다”고 했으나, 이후 고객정보 유출 사실이 확인되면서 은폐 의혹까지 불거졌다.

이번 처분은 기업의 개인정보 보호 책임성을 강화하기 위해 지난해 9월 시행된 개인정보보호법 개정안이 실질적으로 적용된 첫 사례다. 이전까지는 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’로 했지만, 개정 이후에는 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다.

개인정보위는 “이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례”라며 “전통적으로 개인정보 처리가 많이 이뤄지는 서비스 영역 뿐만 아니라 다양한 고객 정보를 취급하는 내부 업무 영역에서도 철저한 개인정보 보호조치가 적용돼야 한다는 것을 보여 준 사례”라고 말했다.

김기환 기자 kkh@segye.com