[디지털데일리 김보민기자] 랜섬웨어 공격으로 임직원 개인정보가 유출된 골프존에게 70억원대 과징금이 부과됐다.

개인정보보호위원회(이하 개인정보위)는 제8회 전체회의에서 골프존에 과징금 총 75억400만원과 과태료 540만원을 부과했다고 8일 밝혔다.

지난해 11월 골프존은 해커로부터 랜섬웨어 공격을 받았다. 해커는 알 수 없는 방법으로 골프존 직원들 가상사설망 계정 정보를 탈취했다. 이후 업무망 내 파일서버에 원격 접속해 저장 파일을 외부로 유출한 후 다크웹에 공개했다. 탈취된 계정에는 서버 관리자 정보도 포함됐다.

개인정보위에 따르면 이번 공격으로 업무망 내 파일서버에 보관돼 있던 221만명 이상의 서비스 이용자와 임직원 개인정보가 유출됐다. 여기에는 이름, 전화번호를 비롯해 이메일, 생년월일, 아이디 등이 포함됐다. 일부의 경우 주민등록번호와 계좌번호가 유출되기도 했다.

개인정보위는 골프존이 ▲안전조치의무 ▲주민등록번호 처리제한 및 개인정보 파기 등을 위반했다고 판단했다.

먼저 골프존은 전 직원이 사용하는 파일서버에 개인정보가 저장 및 공유되고 있다는 사실을 인지하지 못했고, 관리 체계 또한 미흡하게 운영한 것으로 밝혀졌다. 일례로 신종 코로나바이러스감염증(코로나19)으로 재택 근무가 급증했을 당시 골프존은 신규 가상사설망을 도입하는 과정에서 개인정보 유출 관련 안전조치를 취하지 않았다. 원격 접속 등 불필요한 접속을 허용한 것이다.

주민등록번호 등을 암호화하지 않고 파일서버에 저장 및 보관하기도 했다. 보유기간이 경과되거나 처리 목적이 달성된 최소 38만여명의 개인정보를 파기하지 않은 위반 행위도 확인됐다. 개인정보위는 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 과태료를 부과하기로 결정했다.

골프존은 개인정보위로부터 시정명령과 공표명령을 이행한다. 특히 내부관리계획을 수립해 시행하고, 공유 설정 등을 통해 개인정보가 유출되지 않도록 안전조치의무를 준수해야 한다. 아울러 개인정보보호책임자 역할을 강화하고, 전 직원을 대상으로 개인정보 보호 교육을 실시해야 한다.