[이코노믹데일리] 골프존이 해킹으로 221만여명의 개인정보를 유출한 사건과 관련하여 개인정보보호위원회(개인정보위)는 75억4000만원의 과징금과 540만원의 과태료를 부과했다고 9일 발표했다.
골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받아 221만여명의 서비스 이용자 및 임직원의 개인정보가 유출됐다. 유출된 개인정보에는 이름, 전화번호, 이메일, 생년월일, 아이디 등이 포함되어 있으며, 일부는 주민등록번호(5831명)와 계좌번호(1647명)까지 유출된 심각한 사태였다.
개인정보위 조사 결과 골프존은 전 직원이 사용하는 파일 서버에 주민등록번호를 포함한 다량의 개인정보가 저장되어 있다는 사실을 인지하지 못한 것으로 나타났다. 또한 개인정보 파일이 보관된 파일 서버에 대한 주기적 점검 등 관리 체계 운영도 미흡했다.
특히 코로나19 팬데믹으로 재택 근무가 급증하면서 외부에서 내부 업무망에 ID와 패스워드만으로 접속할 수 있도록 허용했지만, 업무망 내 개인정보 유출 관련 보안 위협을 검토하고 필요한 안전 조치를 취하지 않은 것으로 나타났다.
뿐만 아니라 주민등록번호 등 민감한 개인정보를 암호화하지 않고 파일 서버에 저장·보관하고 있었으며, 보유 기간이 지난 또는 처리 목적을 달성한 최소 38만여명의 개인정보를 파기하지 않은 위반 행위도 있었다.
개인정보위는 골프존의 개인정보 관리 체계의 심각한 허점과 위반 행위를 근거로 개인정보보호법 29조 안전조치 의무 위반에 대해 75억4000만원의 과징금을 부과했다. 또한 21조 개인정보 파기 의무를 준수하지 않은 행위에 대해 540만원의 과태료를 부과했다.
이번 사건은 기업의 개인정보 관리 체계의 취약성과 개인정보 보호의 중요성을 다시 한 번 일깨워주는 계기가 되고 있다. 기업들은 개인정보보호법을 준수하고, 안전한 개인정보 관리 체계를 구축해 개인정보 유출 사고를 예방하기 위한 노력을 지속해야 한다.