스크린골프 연습장 1위 골프존이 안전 조치 미흡으로 220만명이 넘는 고객·직원 개인정보 해킹의 빌미를 제공해 75억원이 넘는 과징금 철퇴를 맞았다.
개인정보보호위원회(이하 개인정보위)는 전체회의를 열고 개인정보 보호 법규를 위반한 골프존에 75억400만원의 과징금과 540만원의 과태료를 부과하기로 했다고 9일 밝혔다.
이번 처분은 지난해 9월 강화된 개인정보보호법 개정안이 시행된 이후 실질적으로 적용된 첫 사례다. 과징금은 국내 업체 중 역대 최다이다. 과징금이 가장 많이 부과된 단일 기업은 구글로, 2022년 692억원이었다.
개인정보위에 따르면 골프존은 지난해 11월 랜섬웨어 공격을 받았고, 이 과정에서 해커가 서버 관리자 계정을 포함한 주요 정보를 탈취했다. 이후 해커는 업무망 내 파일서버에 원격으로 접속해 저장돼 있던 파일을 빼돌려 다크웹에 공개했다.
이에 221만명 이상의 서비스 이용자와 임직원 개인정보가 빠져나갔는데, 일부는 주민등록번호(5831명)와 계좌번호(1647명)도 유출됐다.
이번 사고를 계기로 개인정보위가 개인정보보호법 준수 여부를 살펴본 결과 골프존은 안전 조치 의무와 주민등록번호 처리 제한, 개인정보 파기 등을 위반한 것으로 나타났다.
먼저 골프존은 전 직원이 쓰는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있는 사실을 인지하지 못했다.
재택근무가 늘어 급하게 가상 사설망을 도입하는 과정에서는 외부에서 내부 업무망에 ID와 비밀번호만으로 접속할 수 있도록 허용하는 등 보안 위협을 방치했다.
또 주민등록번호 등은 암호화하지 않은 상태에서 파일서버에 보관하고 있었으며, 보유 기간이 경과하거나 목적을 달성한 개인정보(최소 38만명)는 파기하지 않았다.
개인정보위 관계자는 "전통적으로 개인정보 처리가 많이 이뤄지는 서비스 영역뿐 아니라 다양한 고객 정보를 취급하는 내부 업무 영역에서도 철저한 개인정보 보호 조치가 적용돼야 함을 강조한 사례"라고 했다.
골프존은 곧장 재발 방지를 위해 총력을 기울이겠다는 입장을 냈다.
골프존은 "올해부터 전년 대비 4배 규모의 정보 보호 투자를 적극적으로 추진하고 있다"며 "보다 개선된 서비스를 제공해 고객 신뢰를 회복할 수 있도록 각고의 노력을 다하겠다"고 했다.
정길준 기자 kjkj@edaily.co.kr