지난해, 개인정보보호 법규를 위반해 221만명분의 개인정보를 유출시키게 된 스크린골프 업체이자 스포츠 체인 ‘골프존’이 역대 최대, 75억 400만 원의 과징금 철퇴를 맞게 되었습니다. 골프존 처분은 개정된 개인정보보호법을 실질적으로 적용한 첫 사례입니다. 구글(692억 원)·메타(308억 원)에 이어 세 번째로, 국내 기업으로만 본다면 최대 규모인 셈입니다.
개인정보보호위원회는 최근 전체 회의를 열고 개인정보보호 법규를 위반한 골프존에 총 과징금 75억400만 원과 과태료 540만 원을 부과하고 시정명령과 공표명령을 의결했습니다.
앞서 골프존은 해커의 랜섬웨어 공격을 받아 약 221만명 이상(전체 회원의 약 44% 해당)의 서비스 이용자와 임직원 개인정보(이름·전화번호·이메일·생년월일·아이디 등)가 유출된 바있습니다. 특히 주민등록번호(5,831명)와 계좌번호(1,647명)가 유출된 사례도 다수 발생하였습니다. 프존 사이버 공격사고는 직원들의 가상사설망(VPN) 아이디와 비밀번호 등 계정정보 해킹이 발단이 된 것으로 파악됩니다.
개인정보위는 이번 처분이 개정된 개인정보보호법을 실질적으로 처음 적용한 것이라고 설명했습니다. 지난해 3월 개인정보보호법의 전면 개정으로 과징금 상한액 위반행위와 관련해 매출액 3%에서 전체 매출액 3%로 상향되었고, 과징금 처분 대상도 정보통신서비스 제공자에서 개인정보처리자로 확대됐습니다.
△개인정보보호법 제64조(시정조치 등) ① 보호위원회는 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다. 1. 개인정보 침해행위의 중지 2. 개인정보 처리의 일시적인 정지 3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치 ② 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당하는 조치를 명할 수 있다. ③ 보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반하였을 때에는 해당 기관의 장에게 제1항 각 호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다.
제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 1. 제15조제1항, 제17조제1항, 제18조제1항ㆍ제2항(제26조제8항에 따라 준용되는 경우를 포함한다) 또는 제19조를 위반하여 개인정보를 처리한 경우 2. 제22조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우 3. 제23조제1항제1호(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 민감정보를 처리한 경우 4. 제24조제1항ㆍ제24조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보 또는 주민등록번호를 처리한 경우 5. 제26조제4항에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우 6. 제28조의5제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 7. 제28조의8제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 국외로 이전한 경우 8. 제28조의9제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 국외 이전 중지 명령을 따르지 아니한 경우 9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. ② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
제66조(결과의 공표) ① 보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제64조의2에 따른 과징금의 부과, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과의 내용 및 결과에 대하여 공표할 수 있다. ② 보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제64조의2에 따른 과징금의 부과, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과처분 등을 한 경우에는 처분 등을 받은 자에게 해당 처분 등을 받았다는 사실을 공표할 것을 명할 수 있다. ③ 제1항 및 제2항에 따른 개선권고 사실 등의 공표 및 공표명령의 방법, 기준 및 절차 등은 대통령령으로 정한다. |
안전조치의무 및 주민등록번호 처리제한, 개인정보 파기 위반 지적
골프존의 개인정보 안전조치 미흡 사항에 대해 개인정보위는 △대량의 개인정보를 저장한 파일서버 미인지 △아이디와 비밀번호만으로 관리자 접근 허용 △주민등록번호 암호화 미이행 및 개인정보 파기 미이행 △서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신 허용 등 잘못된 방화벽 정책 등을 꼽았습니다.
개인정보위의 시정명령에 따라 골프존은 △실질적인 내부관리계획수립·시행 △안전조치의무 준수 △개인정보보책임자 위상과 역할 강화 △전 직원 대상 개인정보 보호 교육 주기적 실시 등을 이행해야 합니다. 또한, 이러한 사실을 홈페이지 등에 공표해야 합니다.
하지만 골프존 측은 실제 개인정보가 유출된 회원에 대한 피해보상 건에서는 소극적 대응을 하고 있어 다시금 논란을 부추기고 있습니다. 개인정보위의 이 같은 결정으로 개인정보 처리가 대량으로 이루어지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 기업 전산망 내부 영역에서도 철저한 보호조치가 이뤄질 수 있는 경종을 울리는 계기가 되어야 할 것입니다.
카톡예약