작년 11월 랜섬웨어 공격...221만명 개인정보 유출
안전조치의무, 주민등록번호 처리제한 등 미준수 적발

골프존 개인정보 유출 과정. 개인정보위 제공

개인정보보호위원회는 개인정보보호 법규를 위반한 골프존에 75억400만원의 과징금과 540만원의 과태료를 부과, 시정명령과 공포명령을 의결했다.

골프존은 작년 11월 랜섬웨어 공격을 받았으며 이 과정에서 해커는 골프존 직원들의 가상사설망 계정정보를 탈취, 업무망 내 파일서버에 원격 접속한 뒤 파일서버에 저장된 파일을 다크웹에 공개했다.

이로 인해 파일서버에 보관된 221만명 이상의 이용자와 임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 개인정보가 유출됐다. 일부는 주민등록번호(5831명)와 계좌번호(1647명)를 유출당했다.

개인정보위는 골프존이 안전조치의무와 주민등록번호 처리제한 및 개인정보 파기 등을 위반했다고 밝혔다.

먼저 골프존은 파일 서버에 다량의 개인정보를 저장하고 공유하고 있음을 인지하지 못했고 개인정보가 보관된 서버에 대한 관리체계를 미흡하게 운영한 것으로 조사됐다.

골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망을 도입하는 과정에서 외부에서 내부 업무망에 아이디와 패스워드만으로 접속할 수 있도록 허용했는데 파일 서버에 대한 개인정보 유출 보안위협을 검토하고 필요한 안전조치를 취하지 않았다.

안전조치 소홀로 헤커는 탈취한 서버 관리자 계정으로 로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다.

아울러 주민등록번호 등을 암호화하지 않고 파일서버에 저장하고 있었고 보유기간이 경과되거나 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위가 확인됐다.

개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다고 설명했다. △회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부 관리 계획 수립·시행 △공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 △개인정보보호책임자의 위상과 역할 강화 △전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령했다.

개인정보위는 "이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례"라며 "다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례로, 이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다"고 밝혔다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.