골프존, 개인정보 유출사고로 과징금 75억원‧과태료 540만원‧시정·공표명령
기업의 책임성 강화 위해 개정 개인정보보호법 규정 적용 첫 사례
안전조치의무‧주민등록번호 처리제한 및 개인정보 파기 위반
[보안뉴스 김경애 기자] 골프존이 개인정보 유출사고로 과징금 75억원, 과태료 540만원, 시정명령과 공표명령을 받았다. 골프존의 주요 위반 사항은 개인정보 파일이 보관된 파일서버에 대한 관리체계 미흡 등 안전조치 의무 위반과 주민등록번호 처리제한 및 개인정보 파기 위반이다.
[이미지=개인정보보호위원회]
공표명령은 개인정보 보호법 개정(2023년 9월 15일)으로 신설된 처분 규정으로, 사업자 홈페이지 등에 과징금‧과태료 등의 처분받은 사실을 공표하는 제도다.
골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 이 과정에서 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속(2023년 11월 22일)하고, 파일서버에 저장된 파일을 외부로 유출(2023년 11월 22일~23일)한 후 다크웹에 공개했다.
탈취된 계정정보 중에는 서버 관리자 계정도 포함됐으며, 윈도우의 공유폴더 기능을 이용, 임직원들의 PC에 파일서버의 폴더가 생성·공유됐다. 이로 인해 업무망 내 파일서버에 보관되어 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐고, 일부의 경우 주민등록번호(5,831명)와 계좌번호(1,647명)도 유출됐다.
이에 따라 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 8일(수) 제8회 전체회의를 열고, 과징금과 과태료를 부과하는 동시에 동시에 시정명령 및 공표명령을 의결했다. 골프존의 개인정보 보호법 주요 위반사항은 다음과 같다.
1. 안전조치의무 위반
먼저, 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장되어 공유되고 있다는 사실을 인지하지 못했다. 개인정보 파일이 보관되어있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다.
특히 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 허용했다. 게다가 업무망 안에 존재한 파일서버에 대해 개인정보 유출 관련 보안위협 검토와 필요한 안전조치를 하지 않았다.
이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐다. 또한 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치도 소홀했다. 이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다.
2. 주민등록번호 처리제한 및 개인정보 파기 위반
이어 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하지 않은 점도 드러났다. 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위가 있었다.
개인정보는 △준회원 중 현재 회원으로 확인되지 않은 383,365명의 정보, △임직원 정보 중 퇴사하여 보유 근거가 없는 2,916명의 정보, △인턴사원 및 전문연구요원 1,159명의 채용관련 정보, △기타 고객응대(VOC) 관련 이용자 및 점주의 개인정보 등이다.
개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.
또한 △회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립‧시행, △공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수, △개인정보보호책임자의 위상과 역할 강화, △전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령한 동시에, 이러한 사실을 홈페이지 등에 공표하도록 명령했다.
개인정보위의 이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정(2023년 3월 14일 개정, 2023년 9월 15일 시행)한 개인정보 보호법 규정이 적용된 첫 사례로, 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하고, 비례성이 확보되도록 과징금 산정시 위반행위와 관련없는 매출액을 제외했다.
아울러 전통적으로 개인정보 처리가 많이 이루어지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보보호조치가 적용돼야 함을 강조한 사례다. 이와 관련 개인정보위는 이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대했다.
[김경애 기자(boan3@boannews.com)]
기업의 책임성 강화 위해 개정 개인정보보호법 규정 적용 첫 사례
안전조치의무‧주민등록번호 처리제한 및 개인정보 파기 위반
[보안뉴스 김경애 기자] 골프존이 개인정보 유출사고로 과징금 75억원, 과태료 540만원, 시정명령과 공표명령을 받았다. 골프존의 주요 위반 사항은 개인정보 파일이 보관된 파일서버에 대한 관리체계 미흡 등 안전조치 의무 위반과 주민등록번호 처리제한 및 개인정보 파기 위반이다.
[이미지=개인정보보호위원회]
공표명령은 개인정보 보호법 개정(2023년 9월 15일)으로 신설된 처분 규정으로, 사업자 홈페이지 등에 과징금‧과태료 등의 처분받은 사실을 공표하는 제도다.
골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 이 과정에서 해커는 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속(2023년 11월 22일)하고, 파일서버에 저장된 파일을 외부로 유출(2023년 11월 22일~23일)한 후 다크웹에 공개했다.
탈취된 계정정보 중에는 서버 관리자 계정도 포함됐으며, 윈도우의 공유폴더 기능을 이용, 임직원들의 PC에 파일서버의 폴더가 생성·공유됐다. 이로 인해 업무망 내 파일서버에 보관되어 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐고, 일부의 경우 주민등록번호(5,831명)와 계좌번호(1,647명)도 유출됐다.
이에 따라 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 8일(수) 제8회 전체회의를 열고, 과징금과 과태료를 부과하는 동시에 동시에 시정명령 및 공표명령을 의결했다. 골프존의 개인정보 보호법 주요 위반사항은 다음과 같다.
1. 안전조치의무 위반
먼저, 골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장되어 공유되고 있다는 사실을 인지하지 못했다. 개인정보 파일이 보관되어있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다.
특히 코로나19로 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 허용했다. 게다가 업무망 안에 존재한 파일서버에 대해 개인정보 유출 관련 보안위협 검토와 필요한 안전조치를 하지 않았다.
이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐다. 또한 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치도 소홀했다. 이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다.
2. 주민등록번호 처리제한 및 개인정보 파기 위반
이어 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하지 않은 점도 드러났다. 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위가 있었다.
개인정보는 △준회원 중 현재 회원으로 확인되지 않은 383,365명의 정보, △임직원 정보 중 퇴사하여 보유 근거가 없는 2,916명의 정보, △인턴사원 및 전문연구요원 1,159명의 채용관련 정보, △기타 고객응대(VOC) 관련 이용자 및 점주의 개인정보 등이다.
개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.
또한 △회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립‧시행, △공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수, △개인정보보호책임자의 위상과 역할 강화, △전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령한 동시에, 이러한 사실을 홈페이지 등에 공표하도록 명령했다.
개인정보위의 이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정(2023년 3월 14일 개정, 2023년 9월 15일 시행)한 개인정보 보호법 규정이 적용된 첫 사례로, 과징금 상한액을 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향하고, 비례성이 확보되도록 과징금 산정시 위반행위와 관련없는 매출액을 제외했다.
아울러 전통적으로 개인정보 처리가 많이 이루어지는 서비스 영역 뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보보호조치가 적용돼야 함을 강조한 사례다. 이와 관련 개인정보위는 이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
