[알파경제=차혜영 기자] 국내 1위 스크린골프 업체인 골프존이 파일서버 관리 부실로 인해 221만명의 고객 개인정보가 유출됐다. 

 

이에 개인정보보호위원회는 국내 기업 중 역대 최고인 약 75억 원의 과징금을 부과했다. 

개인정보보호위원회(개인정보위)는 지난 8일 '제8회 전체회의'에서 개인정보 유출 사건과 관련, ㈜골프존에 총 75억 원의 과징금 및 540만 원의 과태료를 부과하기로 결정했다고 발표했다.

더불어, 시정명령 및 공표명령도 함께 내려졌다. 이번 유출 사건은 골프존이 지난해 11월 랜섬웨어 공격을 받으면서 시작됐다.

랜섬웨어는 악성 소프트웨어로 데이터나 PC 등을 암호화한 후 이를 풀기 위해 보상을 요구하는 형태의 공격이다.

해커들은 회사 직원들의 가상사설망 계정 정보를 탈취해 내부 파일서버에 접속, 이를 통해 저장된 파일들을 외부로 유출하고 다크웹에 공개하는 방식으로 진행됐다. 

 

유출된 정보에는 약 221만 명의 서비스 이용자와 임직원들의 이름, 전화번호, 이메일 등이 포함됐으며, 일부 경우에는 주민등록번호와 계좌번호도 외부로 노출됐다. 

개인정보위 조사 결과 골프존은 파일서버에 저장된 대량의 개인정보 관리에 소홀했음이 드러났다.

코로나19 팬데믹으로 인한 재택근무 확산 속에서 사설 통신서버를 통해 외부서 ID와 비밀번호로 접속했고, 이 과정에서 랜섬웨어에 감염된 것으로 보인다. 

 

이런 관리 소홀은 해커들이 서버 관리자 계정을 이용해 파일서버에 접근하고 데이터를 외부로 유출하는 상황을 초래했다.

또 ▲주민등록번호 등을 암호화하지 않고 저장·보관한 점 ▲보유 기간이 지난 개인정보를 파기하지 않은 행위 등도 확인되어 법적 제재가 가해졌다.

이번 결정으로 골프존은 ▲개인정보 처리 프로세스 분석을 통한 체계적인 내부 관리 계획 수립 및 시행 ▲안전조치 의무 준수 강화, ▲개인정보 보호 책임자의 역할 강화 ▲전 직원 대상 정기적인 개인정보 보호 교육 실시 등 여러 조치를 이행하게 될 것이다.

 

이번 조치는 지난해 9월 시행된 강화된 개인정보보호법 하에서 첫 실질적 적용 사례로 기업들의 개인정보 보호에 대한 책임성을 강화할 것으로 보인다.

강대현 개인정보위 조사1과장은 "랜섬웨어 협박 이후 내부 업무망에 대한 철저한 점검 부재가 본 사건의 근본적 원인"이라 지적하며 "골프존 회원의 44%에 달하는 220만건 이상의 회원 정보 보호 실패와 내부망 내 개인정보 보관 사실 자체를 인지하지 못한 것이 큰 문제"라고 말했다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]