개인정보위, 개인정보 유출 골프존에 과징금 75억 부과

(사진제공=개인정보위)

골프존이 221만 여명의 이름과 전화번호 등 개인정보 유출로 역대 최대 과징금인 75억 여원을 부과 받았다.

개인정보보호위원회는 8일 전체회의를 열고, 개인정보보호 법규를 위반한 골프존에 대해 총 75억400만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령 및 공표명령을 의결했다고 9일 밝혔다.

골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았고, 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출 한 후 다크웹에 공개했다. 이로 인해 업무망 내 파일서버에 보관되어 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐다. 일부의 경우 주민등록번호(5831명)와 계좌번호(1647명)도 유출됐다.

개인정보위가 이번 유출사고에 대한 골프존의 개인정보 보호법 준수 여부를 조사한 결과, 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다. 개인정보파일이 보관되어있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 드러났다.

구체적으로, 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 아이디(ID)와 패스워드(PW)만으로 접속할 수 있도록 허용했음에도, 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다.

이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐고, 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치가 소홀했다. 이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다.

이번 조사에서는 골프존이 주민등록번호 등을 암호화하지 않은 채 파일서버에 보관하고 있었고, 보유기간을 넘기거나 처리 목적을 달성해 불필요해진 38만여명의 개인정보를 파기하지 않은 사실도 드러났다. 개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.

강대현 개인정보위 조사1과장은 “개정법이 적용되면서 과징금 부과 대상에 기존 망 사업자뿐만 아니라 오프라인 사업자가 추가됐고, 과징금 상한액도 확대됐다”며 이번 골프존 케이스는 두 가지가 다 동시에 적용됐기 때문에 무거운 과징금이 부과됐다고 설명했다. 이어 “랜섬웨어 협박을 당한 직후 내부 업무망에 대해 점검을 전혀 하지 않았던 것이 이번 사건의 근본적인 원인”이라며 “골프존 회원의 44%에 달하는 220만건의 개인정보에 대한 보호 조치를 하지 않았고, 개인정보가 내부 업무망에 보관된 사실 자체를 인지하지 못했다”고 지적했다.