스크린골프 대표 기업인 골프존이 개인정보 유출사고로 75억400만원의 과징금과 540만원의 과태료 처분을 받았다.

개인정보보호위원회는 8일 제8회 전체회의를 열고 이 같이 의결했다고 밝혔다.

개인정보위에 따르면 골프존은 지난해 11월 해커에 의해 랜섬웨어 공격을 받았고, 이 과정에서 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망에 접속한 뒤 파일서브에 저장된 파일을 외부로 유출했다.

이 과정에서 파일서브에 보관돼 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름 전화번호 이메일 생년월일 아이디 등)가 각각 유출됐다. 이 가운데 5831명은 주민등록번호가, 1647명은 계좌번호가 유출됐다. 이번 사고는 코로나19로 재택근무가 급증하던 시기 골프존이 새로운 가상사설망을 긴급히 도입하는 과정에서 발생했다. 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않은 것이다. 해커는 탈취한 서브 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다.

이 밖에도 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었고, 보유기간이 경과되거나 처리목적을 달성해 보관이 필요 없는 개인정보 38만여건을 파기하지 않고 보관하고 있었다.

개인정보위는 골프존에 대해 내부관리계획 수립·시행, 안전조치 의무 준수, 개인정보보호책임자 역할 강화, 전 직원 개인정보보호 교육 등을 주기적으로 실시하도록 명령했다. 또 이러한 사실을 누리집 등에 공표하도록 했다.

이번 처분은 지난해 기업 차원의 책임성이 강화된 이후 실제 적용된 첫 사례다. 과징금 상한액이 위반행위 관련 매출액의 3%에서 전체 매출액의 3%로 상향됐다. 아울러 전통적으로 개인정보 처리가 많이 이루어지는 서비스 영역뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보보호 조치가 필요하다는 점을 시사하고 있다.

김신일 기자 ddhn21@naeil.com