골프존, 221만명 개인 정보 유출로 과징금 75억원…국내 기업 최다

랜섬웨어 공격 받아 개인 정보 유출

개인정보보호위원회는 9일 스크린 골프 연습장 업계 1위인 ‘골프존’에 과징금 75억400만원을 부과하기로 했다고 밝혔다. 개인정보위가 국내 기업에 부과한 과징금 중 최대 규모다. 외국 기업의 경우 2022년 구글이 692억원을 부과받아 최고액을 기록했다. 구글은 부당하다며 행정소송을 벌이고 있다.

고학수 개인정보보호위원회 위원장이 8일 종로구 정부서울청사에서 열린 개인정보보호위원회를 주재하고 있다. /연합뉴스

골프존은 작년 11월 22일부터 이틀간 해커에게 랜섬웨어 공격(데이터를 막아 돈을 요구하는 공격)을 받았다. 이 과정에서 서버 관리자의 계정 정보가 유출됐고, 이를 이용해 이 회사 업무망 내 파일 서버에 원격 접속해 서버에 있던 회원 221만명의 개인 정보(이름·전화번호·생년월일 등), 5831명의 주민등록번호, 1647명의 계좌번호 등이 외부로 빠져나간 것으로 조사됐다.

개인정보위 관계자는 “해커가 골프존 측에 연락해 ‘개인 정보를 유출하겠다’며 돈을 요구하기도 했는데, 골프존 측은 파일 서버 점검과 관리에 소홀했다”면서 “전 직원이 사용하는 파일 서버에 주민등록번호를 포함한 다량의 개인 정보가 서로 공유되고 있다는 점도 모르고 있었다”고 말했다.

골프존 '먹통 사태' 당시 골프존 모바일앱 화면 갈무리 /뉴스1

조사 결과 골프존은 2020년 코로나 여파로 스크린 골프 고객이 늘어 처리해야 하는 데이터양이 증가하자 사내 서버에 우회 접속할 수 있는 가상 사설망(VPN)을 도입했다. 그러나 보안 인증(OTP) 등 안전 조치를 제대로 갖추지 않은 것이다. 개인정보위 관계자는 “아이디와 암호만으로도 누구나 접속이 가능할 정도로 해킹에 무방비로 노출돼 있었다”며 “특히 주민등록번호 등 민감한 정보도 암호화하지 않았고, 보유 기간이 지난 38만명의 개인 정보도 없애지 않은 채 방치하고 있었다”고 했다.

작년 9월 개인정보보호법의 과징금 상한액은 ‘위법행위와 관련된 매출액의 3%’에서 ‘전체 매출액의 3%’로 바뀌었다.