221만명 개인정보 털렸다…골프존, 75억 과징금 '역대 최대'

박강수 골프존 대표가 2021년 7월20일 서울 강남구 골프존 GDR 아카데미 강남센터필드점에서 열린 100호점 오픈 기념행사에서 조아란 프로에게 레슨을 받고 있다. /사진=뉴스1

대규모 개인정보 유출사고로 관리부실이 적발된 골프존 (77,900원 0.00%)이 개인정보보호위원회로부터 75억여원에 달하는 과징금 처분을 받았다.

개인정보위는 지난 8일 오후 열린 전체회의에서 골프존에 대해 과징금 75억400만원과 과태료 540만원, 시정명령·공표명령을 의결했다고 9일 밝혔다.

골프존은 지난해 11월 랜섬웨어 공격을 받았다. 해커는 서버관리자를 비롯한 골프존 임직원의 가상사설망(VPN) 계정정보를 탈취해 회사 내부 업무망 파일서버에 원격으로 접속한 뒤 파일을 외부로 반출, 다크웹에 공개했다. 당시 사건으로 골프존에선 221만명 이상의 회원과 임직원의 이름·전화번호·이메일·생년월일·아이디 등 개인정보가 유출됐고, 유출 피해를 입은 회원의 수는 전체 고객의 약 44%인 것으로 추산됐다. 5831명은 주민등록번호, 1647명은 계좌번호가 유출되는 피해를 입었다.

개인정보위는 골프존에 대해 "코로나19(COVID-19)로 재택근무가 급증하자 VPN을 긴급히 도입, 아이디·비밀번호만으로 외부에서 사내 업무망에 접속하도록 허용하면서도 파일서버에 대한 보안위협을 검토하고 필요한 안전조치를 하지 않았다"고 지적했다. 이어 "주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관했고, 보유기간이 경과하거나 처리목적을 달성해 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않았다"고 덧붙였다. 골프존은 △회원으로 확인되지 않은 준회원 38만여명 △보유근거가 없는 퇴사 임직원 2916명 △인턴·전문연구요원 1159명 △고객응대 관련 이용자와 점주 등의 개인정보를 무단 보관한 것으로 드러났다.

골프존에 부과된 과징금은 국내 단일기업으로는 최대 규모다. 법 개정 전 과징금 최고액 부과 기록은 국내기업 중 LG유플러스(68억원), 해외기업 중 구글(692억원)이 보유하고 있다. 개인정보위는 개정된 개인정보보호법이 지난해 9월 시행되면서 과징금 산정기준이 강화된 데 따라 골프존에 대한 과징금이 과거 다른 사건에 비해 무거워졌다고 설명했다. 개인정보위 관계자는 "전통적으로 개인정보 처리가 많이 이뤄지는 서비스 영역뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용되어야 함을 강조한 사례"라며 "업무처리 전반에 개인정보 보호수준이 향상될 것으로 기대한다"고 밝혔다.