221만 고객 개인정보 유출한 '골프존' 과징금 75억 물게 됐다(+입장)

해킹 공격으로 221만명의 고객·임직원 개인정보가 유출된 '골프존'이 과징금 75억원을 물게 됐다.

개인정보보호위원회는 지난 8일 제8회 전체회의에서 이런 내용을 의결했다고 9일 밝혔다.

실내 스크린골프연습장 분야 업계 1위이자 스크린골프 전문 방송 등을 영업 중인 골프존은 지난해 11월 해커에 의해 랜섬웨어 공격을 받았다.

랜섬웨어는 악성 소프트웨어로 데이터나 PC 등을 암호화한 뒤 이를 풀기 위해선 보상을 내놓으라 요구하는 형태의 공격이다.

이 과정에서 해커는 골프존 직원들의 가상사설망 계정 정보를 탈취했다. 이어 업무망 내 파일서버에 원격 접속한 해커는 이곳에 저장된 파일을 외부로 유출했고, 유출한 정보는 다크웹에 공개했다.

이에 따라 업무망 내 파일서버에 보관된 221만여명의 서비스 이용자와 임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 각종 개인정보가 유출됐다.

또한 5800여명의 주민등록번호와 1600여명의 계좌번호도 유출됐다.

개인정보위에 따르면 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유된다는 사실을 인지하지 못했다. 게다가 파일서버에 대한 주기적인 점검도 소홀히 했던 것으로 드러났다.

골프존은 코로나19 시기에 재택근무가 급증하자 급하게 새로운 가상시설망을 도입했다. 하지만 이때 전반적인 점검·관리를 소홀히 하고, 개인정보 암호화 보관과 파기 의무도 어겼다.

지난해 11월 사고 당시 골프존은 "고객정보 유출이 없었다"고 밝혔으나 이후 고객정보 유출 사실이 드러나며 은폐 의혹까지 불거졌다.

개인정보위는 골프존에 대해 안전조치의무 위반으로 과징금 75억 400만원을, 개인정보 파기의무 미준수로 과태료 540만원을 부과하기로 했다.

이번 처분은 기업의 개인정보 보호 책임성을 강화하기 위해 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례다.

이전까지는 과징금 상한액을 '위법행위와 관련된 매출액의 3%'로 정했지만, 개정 이후에는 '전체 매출액의 3%'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다.

관련 없는 매출액을 증명해야 하는 책임이 기업에 주어졌기 때문에 결과적으로 과징금 부담이 무거워진 셈이다.

개인정보위에 따르면 지금까지 과징금이 가장 많이 부과된 단일 기업은 구글로, 2022년 692억원이었다.

국내 기업으로는 지난해 LG유플러스가 68억원으로 가장 많았으나, 이번에 골프존이 이를 크게 넘어섰다.

한편 골프존은 이번 일을 계기로 개인정보 보호법을 준수하고 정보보안을 강화하기 위한 2024년 정보보호 추진계획을 수립했다 밝혔다.

골프존은 전년 대비 4배 규모의 정보 보호 투자 예산을 투입할 계획이며, 정보보호 조직을 정책 및 개인정보 분야와 보안기술 분야로 양분화해 확대 구성할 것이라 전했다.

이하 골프존 측 입장문 전문이다.