(조세금융신문=김필주 기자) 지난해 이용자 221만명의 개인정보 유출사고가 발생한 스크린골프 업계 1위 골프존이 개인정보보호위원회(개인정보위)로부터 과징금 75억여원을 부과받았다.

9일 개인정보위는 전날인 8일 제8회 전체회의를 열고 개인정보보호 법규를 위반한 골프존에게 총 75억400만원의 과징금과 540만원의 과태료를 부과했다고 밝혔다. 또 이날 개인정보위는 시정명령 및 공표명령도 함께 의결했다.

골프존은 앞서 작년 11월 말경 해커에 의해 랜섬웨어 공격을 받았다. 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출한 뒤 다크웹에 공개했다.

이로 인해 골프존 업무망 내 파일서버에 보관돼있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름·전화번호·이메일·생년월일·아이디 등)가 유출됐고 일부 이용자 및 임직원의 경우 주민등록번호(5831명)와 계좌번호(1647명)까지 유출됐다.

개인정보위 조사 결과 먼저 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다. 더불어 개인정보파일이 보관돼있는 파일서버를 주기적으로 점검하지 않는 등 소홀히 관리한 것으로 드러났다.

실제 과거 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID(아이디)와 PW만(패스워드, 암호)으로 접속할 수 있도록 허용했는데 이 때 업무망 내에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토했으나 필요한 안전조치는 전혀 하지 않았다.

이에 따라 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐고 서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출이 가능해졌다.

이같은 허점을 파고든 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근한 뒤 파일서버에서 외부로 파일을 쉽게 유출할 수 있었다.

이밖에 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하고 있었던 것으로 밝혀졌다. 특히 보유기간이 경과됐거나 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않았던 것으로 파악됐다.

구체적으로 골프존은 ▲준회원 중 현재 회원으로 확인되지 않은 38만3365명의 정보 ▲임직원 중 퇴사해 보유 근거가 없는 임직원 2916명의 정보 ▲인턴사원·전문연구요원 1159명의 채용관련 정보 ▲기타 고객응대(VOC) 관련 이용자 및 점주의 개인정보 등을 파기하지 않았던 것으로 확인됐다.

개인정보위 관계자는 “이번 골프존에 대한 처분은 기업 차원의 책임성을 강화하기 위해 작년 3월 개정해 같은해 9월 시행한 개인정보 보호법 규정이 적용된 첫 사례면서 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례이기도 하다”며 “이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다”고 전했다.

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]