컨슈머타임스=안솔지 기자 | 실내 스크린골프연습장 분야 1위 업체인 골프존이 고객 221만여명의 개인정보를 유출해 과징금 75억원 철퇴를 맞았다.
개인정보보호위원회는 개인정보보호 법규를 위반한 골프존에 대해 75억400만원의 과징금과 540만원의 과태료를 부과했다. 이번 처분은 지난해 9월 기업의 개인정보 보호 책임성을 강화하기 위해 시행된 개인정보보호법 개정안이 실질적으로 적용된 첫 사례다.
골프존은 지난해 11월 해커의 랜섬웨어 공격을 받았다. 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격 접속한 뒤 이곳에 저장된 파일을 외부로 유출했다.
이로 인해 업무망 내 파일서버에 보관됐던 221만여명의 사용자와 임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 각종 개인정보가 유출됐다. 5831명의 주빈등록번호와 1647명의 계좌번호도 외부로 흘러 나갔다.
골프존은 전 직원이 사용하는 파일서버에 주인등록번호를 포함한 다양한 개인정보가 저장돼 공유된다는 사실을 인지하지 못한 것으로 나타났다. 파일 서버 점검도 소홀했던 것으로 확인됐다.
골프존은 코로나19로 재택근무가 늘면서 새로운 가상사설망을 도입했다. 이때 외부에서 내부 엄부망에 아이디와 비밀번호만으로 접속할 수 있도록 허용했다. 이 과정에서 개인정보 유출 관련 보안 위협을 검토하지 않았고, 필요한 안전조치도 취하지 않았다.
이번 조사에서 골프존이 주민등록번호 등을 암호화하지 않은 채 파일서버에 보관하고 있었고, 보유 기간을 넘기거나 처리 목적으로 달성해 불필요해진 38만여명의 개인정보를 파기하지 않은 사실도 드러났다.
골프존은 입장문을 통해 "이번 일로 고객분들에게 불편을 끼쳐드린 점 가솨의 말씀을 드린다'며 "개인정보보호 책임자를 포함한 개인정보 전문인력을 충원해 개인정보 보호 조직체계를 강화하고 있다"고 사과했다.
골프존은 재발을 막고 고객 신뢰 회복을 위해 올해 정보보호 투자 및 유지보수에 70억원을 투자한다는 방침이다.
