회원정보 유출로 스팸문자 발송…"위·수탁자 모두 처분"
[아이뉴스24 박정민 기자] 개인정보위원회는 22일 열린 전체회의에서 개인정보 보호 법규를 위반한 한양컨트리클럽(CC)과 서울컨트리클럽에 대해 총 2억 110만원의 과징금과 2220만원의 과태료를 부과했다고 23일 밝혔다.
![송경희 개인정보위원장이 지난 22일 정부서울청사에서 제22회 개인정보보호위원회 전체회의를 주재하고 있다. [사진=개인정보위원회]](https://image.inews24.com/v1/57c76e6c5eb0d7.jpg)
송경희 개인정보위원장이 지난 22일 정부서울청사에서 제22회 개인정보보호위원회 전체회의를 주재하고 있다. [사진=개인정보위원회]한양CC는 △개인정보 파기 위반 △주민등록번호 처리 제한 위반 △업무위탁에 따른 처리 제한 위반과 관련해 과징금 1억 4800만원과 1230만원의 과태료, 공표명령, 개선권고 조치를 받았다. 서울CC는 개인정보 파기, 주민번호 처리 제한 위반에 이어 안전조치 위반으로 과징금 5310만원과 과태료 990만원, 시정·공표명령 조치를 받았다.
앞서 서울CC와 한양CC는 지난 2023년 12월 4일 골프장 회원으로부터 스팸문자를 수신했다는 민원 전화를 받고 개인정보 유출 사고를 인지해 신고했다. 스팸문자는 '[한양CC] OOO 추천으로 찾아오셨다면…'이라는 문구에 도박사이트 접속(URL) 링크가 포함된 형태였다.
개인정보위 조사결과, 해커는 사전에 획득한 관리자 계정 정보로 한양CC 홈페이지에 로그인해 총 8만 7923명의 서울·한양CC 회원들에게 스팸문자를 발송했다. 사고 당시 서울CC는 한양CC에 회원정보 처리를 위탁하고 있었다. 한양CC가 같은 시스템으로 골프장 회원 정보를 관리해 서울CC 회원에게도 스팸문자가 발송됐다.
한양CC는 위·수탁 계약을 통해 자사뿐 아니라 서울CC의 홈페이지와 골프장 운영시스템을 운영하면서 업체 구분 없이 동일 웹서버, 데이터베이스, 관리자 계정을 사용해 관리한 것으로 드러났다. 개인정보위는 서울CC와 한양CC의 개인정보를 모두 처리하는 한양CC가 안전조치 법규를 소홀히했다고 판단했다.
또한 개인정보위는 위·수탁 계약서에 개인정보 처리업무 안전조치 등 세부 내용이 포함되지 않거나 유지보수 업체에 대한 부정확한 정보를 담는 등 개인정보 처리업무 위탁에 필요한 사항도 준수하지 않았다고 판단했다. 세무서 제출을 위해 수집한 회원 주민등록번호 등을 목적 달성 이후에도 파기하지 않고 보관한 사실도 확인했다.
개인정보위는 이에 따라 한양CC에는 과징금·과태료 부과와 함께 개인정보 처리 방침에 개인정보 흐름을 명확히하고 데이터베이스 접근권한을 처리자별로 분리하는 등의 개선을 권고했다. 위탁자인 서울CC에는 홈페이지 등에 수탁자를 구체적으로 명시·공개할 것과 수탁자에 대한 처리 현황 점검 등 관리·감독을 충실히 하도록 명령했다.
개인정보위 관계자는 "이번 처분은 개인정보 안전조치 의무에 대한 책임이 명확하게 수탁자에게 있는 경우에 수탁자와 함께 수탁자에 대한 관리·감독을 소홀히 한 위탁자도 처분한 사례라는 의미가 있다"고 설명했다.
/박정민 기자(pjm8318@inews24.com)포토뉴스
English (US) · 