개보위, ‘골프장 회원정보 유출’ 한양CC·서울CC에 과징금 2억110만원

[이데일리 권하영 기자] 개인정보보호위원회(위원장 송경희)는 골프장 회원 개인정보 유출 사고와 관련해 위·수탁자 모두에 과징금을 부과했다고 23일 밝혔다.

위원회는 22일 전체회의를 열고 개인정보보호법을 위반한 한양컨트리클럽(한양CC)과 서울컨트리클럽(서울CC)에 각각 과징금과 과태료, 시정명령 및 공표명령 등을 의결했다. 총 부과 금액은 과징금 2억110만 원, 과태료 2220만 원이다.

수탁자인 한양CC에는 개인정보 안전조치 의무 위반 등을 이유로 과징금 1억4800만 원과 과태료 1230만 원이 부과됐다. 위탁자인 서울CC에도 수탁자 관리·감독 소홀과 개인정보 처리방침 허위 기재 등의 사유로 과징금 5310만 원, 과태료 990만 원이 내려졌다.

서울CC와 한양CC는 지난해 12월 회원이 스팸문자를 수신했다는 민원을 통해 개인정보 유출 사실을 인지했다. 조사 결과 해커가 사전에 탈취한 관리자 계정으로 한양CC 홈페이지에 접속해 서울CC 회원 7만여 명, 한양CC 회원 1만7000여 명 등 총 8만7923명에게 도박사이트 링크가 포함된 스팸문자를 발송한 것으로 드러났다.

당시 서울CC는 회원정보 처리를 한양CC에 위탁한 상태였다. 한양CC는 서울CC와 같은 시스템·데이터베이스·관리자 계정을 공동으로 사용하며 회원정보를 관리했는데, 이 과정에서 서울CC 회원 정보까지 함께 노출됐다. 개인정보위는 이를 안전조치 의무 위반으로 판단했다.

또한 양측의 위수탁 계약서에는 개인정보 처리 범위나 보호조치 관련 세부사항이 누락돼 있었고, 서울CC의 개인정보 처리방침에는 수탁자를 실제 운영사인 한양CC가 아닌 다른 IT업체로 잘못 표기한 사실도 확인됐다.

이밖에 두 기관 모두 골프장 회원권 명의개서 과정에서 수집한 주민등록번호를 목적 달성 후에도 파기하지 않고 보관한 것으로 드러났다.

개인정보위는 한양CC에 대해 개인정보 흐름 명확화와 접근권한 분리 등 개선을 권고했으며, 서울CC에는 수탁자 공개 및 관리·감독 강화 시정명령을 내렸다.

개인정보위는 “이번 처분은 수탁자가 명백한 운영 책임을 지는 경우 위탁자 역시 관리감독 의무를 다하지 않으면 제재 대상이 될 수 있음을 명확히 한 사례”라며 “위탁자는 수탁자의 개인정보 처리 현황을 주기적으로 점검하고 교육 등을 철저히 시행해야 한다”고 강조했다.