"내부통제·안전조치 강화 직원 교육·감독 철저" 시정명령
개인정보보호위원회가 27일 개인정보보호법을 위반한 우리카드에 134억5100만 원의 과징금을 부과했다.
개인정보위는 조사결과 우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용하고 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다.
김해숙 개인정보보호위원회 조사1과장은 이날 개인정보위 제7회 전체회의 결과 브리핑에서 “우리카드는 가맹점 관리 목적으로 수집한 개인정보를 카드 발급 마케팅에 활용해 개인정보 보호법 제18조를 위반했으며 주민등록번호를 법적 근거 없이 처리해 제24조의2도 위반했다”고 설명했다. 이어 “DB 접근권한 및 파일 다운로드 권한을 영업센터가 직접 관리하도록 운영하면서 본부 차원의 통제가 이루어지지 않았고 월 3000만 건 이상의 개인정보 조회에 대한 점검도 없어 내부 통제가 매우 소홀했던 것으로 확인됐다”며 “내부통제 소홀이나 관리통제가 안 된 부분, 관리·감독이 안 된 부분을 중심으로 고의가 인정이 됐다”고 덧붙였다.
우리카드 인천영업센터는 영업실적 증대를 위해 2022년 7월부터 2024년 4월까지 가맹점주의 사업자등록번호를 이용해 최소 13만 명의 개인정보를 조회하고 카드 발급 여부를 확인한 후 모집인에게 공유했다. 2023년 9월부터는 데이터베이스 조회 명령어를 활용해 가맹점주 정보와 카드 보유 여부를 파일로 생성해 2024년 1월부터 4월까지 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 전달했다.
이 과정에서 최소 20만 명의 가맹점주 정보가 조회되었으며 이 중 약 7만4000명은 마케팅에 동의하지 않았던 것으로 확인됐다.
단 이 과정에서 우리카드 일반고객의 정보는 유출되지 않은 것으로 파악됐다. 김 과장은 “우리카드는 가맹점주들에게 신용카드 발급을 하기 위해서 정보를 조회했던 것이고 가맹점 관리 프로그램에서 먼저 조회를 해서 카드가 있는지, 없는지 여부만 확인하기 위해서 카드 발급 시스템을 확인하는 절차로 이용됐기 때문에 가맹점주 대상으로만 이뤄졌다”고 설명했다.
개인정보위는 우리카드가 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해 과징금 134억 5100만 원을 부과하는 동시 개인 정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령 하고 처분받은 사실을 홈페이지 등에 공표하도록 했다.
개인정보위는 이번 조사를 통해 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법이라는 점을 강조하며 직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖추어야 한다고 당부했다.
우리카드 관계자는 ”개인정보위 지적사항에 대해 깊이 반성하고 있으며 재발 방지를 위해 DB 접근 통제 강화, DB 권한 분리 개선, 외부메일 통제 강화 등 시스템을 개선했다“고 말했다. 이어 ”재발 방지를 위해 임직원 교육 및 정보보호 시스템 상시 점검 등 내부통제를 더욱 강화할 것"이라며"외부메일 개인정보검출 시스템 구축 등 정보보호 관리 시스템 구축 역시 진행하고 있다“고 덧붙였다.
!["벚꽃 축제 가볼까 했더니"…여의도 벚꽃길, 무사히 걸을 수 있나요? [이슈크래커]](https://img.etoday.co.kr/crop/320/200/2154900.jpg)