개인정보보호위원회가 안전조치를 지키지 않은 수탁자는 물론 관리·감독을 소홀히 한 위탁자에게도 과징금을 부과했다. 개인정보 유출 책임을 위·수탁자에게 모두 물은 첫 결정이다.

개인정보위는 22일 전체회의를 열고 개인정보 보호 법규를 위반한 ㈜한양컨트리클럽과 ㈔서울컨트리클럽에 대해 과징금 2억110만원과 과태료 2220만원을 부과하고, 시정·공포 명령과 개선권고를 의결했다. 수탁자 한양CC에는 안전조치 위반 책임을 물어 과징금 1억480만원과 과태료 1230만원을, 위탁자 서울CC에는 관리·감독 책임을 물어 과징금 5310만원과 과태료 990만원을 각각 부과했다.

개인정보위에 따르면 골프장을 운영하는 서울CC와 한양CC는 지난 2023년 12월 4일 골프장 회원으로부터 스팸문자를 수신했다는 민원 전화를 받고 개인정보 유출 사실을 인지했다. 조사 결과 해커는 사전 획득한 관리자 계정정보로 한양CC 누리집에 로그인해 총 8만9723명의 서울CC와 한양CC 회원들에게 도박사이트 링크가 포함된 스펨문자를 발송했다. 사고 당시 서울CC는 한양CC에 회원정보 처리를 위탁하고 있었다. 한양CC가 같은 시스템으로 골프장 회원정보를 관리하다 보니 서울CC 회원에게도 스팸문자가 발송된 것이다.

이번 조사에서 서울CC와 한양CC 모두 골프장 회원권 양도·양수 과정에서 수집한 회원 주민등록번호 등을 제때 파기하지 않고 보관해 보호법을 위반한 사실도 확인했다.

개인정보위 관계자는 “이번 처분은 개인정보 안전조치 의무에 대한 책임이 명확하게 수탁자에게 있는 경우에 수탁자와 함께 수탁자에 대한 관리·감독을 소홀히 한 위탁자도 처분한 사례”라고 설명했다.

한편 개인정보위는 취업준비생의 이력서 등 개인정보를 유출한 인크루트㈜에 대해서도 과징금 4억6000만원을 부과하고 재발방지 대책을 마련토록 했다. 온라인 취업포털사이트를 운영하는 인크루트는 지난 2월 해킹으로 전체회원 730여만명의 개인정보를 유출했다. 인크투트는 2023년 7월에도 개인정보 3만5000여건을 유출해 제재처분을 받았다.

김신일 기자 ddhn21@naeil.com