카드 가맹점주 개인정보를 카드 발급 마케팅에 사용…”이용목적 벗어나”
개인정보 접근권한 주기적 점검, 접속기록 검토 등 내부통제 시스템 갖춰야

[보안뉴스 한세희 기자] 카드 가맹점주 개인정보를 카드 발급 마케팅에 활용한 우리카드가 134억원의 과징금을 물게 됐다.

개인정보보호위원회(위원장 고학수)는 전체회의를 열고 개인정보보호법을 위반한 혐의로 우리카드에 134억5100만원의 과징금을 부과했다고 27일 밝혔다.

우리카드는 가맹점주의 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용했고, 이 정보를 영업센터 직원이 카드 모집인에게 전달한 사실이 개인정보위 조사 결과 확인됐다.


▲고학수 개인정보보호위원회 위원장이 26일 서울 종로구 정부서울청사에서 열린 2025년 제7회 전체회의에서 의사봉을 두드리고 있다. [자료:연합뉴스]

우리카드 인천영업센터는 2022-2024년 카드가맹점 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 13만명 이상의 이름과 주민등록번호, 휴대폰 번호, 주소 등 개인정보를 조회했다. 이어 카드발급심사 프로그램에 가맹점주 주민등록번호를 입력해 우리카드 보유 여부를 확인했다. 이 정보를 출력된 가맹점 문서에 표시하고 촬영해 카드 모집인 단톡방에 공유했다.

나아가 2023년 9월부터는 가맹점주와 카드회원의 개인정보를 처리하는 데이터베이스에서 가맹점주의 개인정보와 우리카드 보유 여부를 조회해 개인정보 파일로 생성했다. 이 파일은 2024년 초 3개월 간 100회에 걸쳐 카드 모집인에게 이메일로 전달돼, 총 7만5676명의 개인정보가 노출되었다.

최소 20만7538명의 가맹점주 정보가 조회돼 카드 모집인에게 전달돼 우리카드 발급 마케팅에 쓰였다. 이 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다.

가맹점 관리 목적으로 수집한 개인정보를 카드 발급 마케팅에 사용한 것은 수집이용 범위를 초과해 개인정보를 이용해선 안된다고 규정한 개인정보보호법 위반이라고 개인정보위는 판단했다. 이 과정에서 주민등록번호 처리 과정도 적법하지 않았다.

또 개인정보 열람 권한을 영업센터에 위임해 운영하면서 접근권한 부여와 접속기록 점검을 소홀히 하는 등 내부통제도 부실했다. 이에 따라 과징금 외에 내부통제 강화와 개인정보취급자 관리 강화 등의 시정명령을 내렸다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>