골프존이 개인정보 유출사고로 수십억원의 과징금을 물게 됐다.
개인정보보호위원회(이하 개인정보위)는 개인정보보호 법규를 위반한 골프존에 대해 총 75억 4백만원의 과징금과 540만원의 과태료를 부과하고, 동시에 시정명령 및 공표명령을 의결했다고 9일 밝혔다.
골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았다. 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속했다. 이후 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.
이로 인해 업무망 내 파일서버에 보관되어 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐다. 일부의 경우 주민등록번호(5831명)와 계좌번호(1647명)도 유출됐다.
개인정보위가 이번 유출사고에 대한 골프존의 개인정보 보호법 준수 여부를 조사한 결과, 확인된 주요 위반사항은 '안전조치의무 위반', '주민등록번호 처리제한 및 개인정보 파기 위반'이다.
골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장되어 공유되고 있다는 사실을 인지하지 못했고, 개인정보파일이 보관되어있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다.
코로나19로 인해 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 허용했다. 그러나 업무망 안에 존재하는 파일서버의 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다.
개인정보위는 "이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용되었고, 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치가 소홀했다"며 "이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다"고 했다.
또한 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하고 있었고, 보유기간이 경과되거나 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위가 있었다.
김상록 기자 kdf@kdfnews.com
