개인정보 목적 외 이용 우리카드에 과징금 ‘134억’···내부통제 시정명령

[사진=이뉴스투데이 DB]

[이뉴스투데이 이승준 기자] 개인정보보호위원회가 개인정보를 목적 외로 이용한 우리카드에 과징금 134억5100만원을 부과하면서 내부통제·안전조치 강화와 직원 교육·관리·감독을 철저히 하라는 시정명령을 병행했다.

개인정보위는 26일 제7회 전체회의를 열고 ‘개인정보보호법’을 위반한 우리카드에 과징금 부과와 함께 시정명령·공표명령을 의결했다고 28일 밝혔다.

개인정보위는 우리카드가 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해 과징금 134억5100만원을 부과했다. 동시에 개인정보 오·남용을 방지하기 위해 내부통제 강화, 접근 권한 최소화 및 점검 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지에 공표하도록 했다.

개인정보위는 지난해 4월 우리카드의 신고와 함께 “우리카드 가맹점 대표자의 개인정보가 카드 신규에 모집된다”는 언론보도 등에 따라 조사에 착수했다. 조사 결과 우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다.

개인정보보호법은 수집·이용 범위를 초과해 개인정보를 이용해서는 안 된다고 규정하고 있다. 우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 개인정보 목적 외 이용·제공 제한 규정(보호법 제18조제1항)을 위반한 것이다. 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것도 주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)을 위반했다.

우리카드가 데이터베이스(DB) 접근 권한, 파일 다운로드 권한, 주민등록번호가 포함된 개인정보의 열람 권한 등을 사실상 개별부서에 해당하는 영업센터에 위임해 운영하고 있으면서 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로 나타났다.

구체적으로 우리카드는 영업센터 직원 업무와 무관하게 DB 접근 권한을 부여해 가맹점주 정보를 조회할 수 있게 했다. 심지어 영업센터에서 월 3000만건 이상의 대량 개인정보 조회·다운로드가 발생했음에도 이를 점검·조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보를 조회·이용하는 것을 방치했다는 게 개인정보위의 설명이다.

개인정보위 관계자는 “당초 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법”이라며 “직원 등 개인정보취급자의 개인정보 접근 권한을 주기적으로 점검하고 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖춰야 한다”고 당부했다.

이어 “지난해 12월 손해보험사에 대한 조사·처분에 이어 카드사에 대한 이번 처분을 통해 금융회사 또한 보호법이 적용될 수 있으므로, 보호법 준수 여부를 다시 한번 점검할 필요가 있다”고 덧붙였다.