[디지털데일리 김보민기자] ㈜우리카드가 가맹점주 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용한 것으로 나타났다. 개인정보보호위원회(이하 개인정보위)는 이를 개인정보보호법 위반으로 판단해, 134억원대 과징금을 부과했다.

개인정보위(위원장 고학수)는 제7회 전체회의를 열고 우리카드에 과징금 134억5100만원을 부과하고, 시정명령과 공표명령을 의결했다고 27일 밝혔다.

개인정보위에 따르면 우리카드 인천영업센터는 신규 카드발급 마케팅을 통해 영업 실적을 올리려, 2022년 7월부터 2024년 4월까지 카드가맹점 사업등록자번호를 가맹점 관리 프로그램에 입력했다.

그 결과 가맹점주 최소 13만1862명의 성명·주민등록번호·휴대전화번호·주소 등 개인정보를 조회했고, 카드발급심사 프로그램에서 가맹점주 주민등록번호를 입력해 해당 점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인했다. 이후 출력된 가맹점 문서에 이를 기재 및 촬영해, 카드 모집인 등이 참여한 카카오톡 단체 채팅방에 공유했다.

2023년 9월부터는 가맹점주 및 카드 회원 개인정보를 처리하는 데이터베이스(DB)에서 정보 조회 명령어를 통해 가맹점주 개인정보와 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했다. 2024년 1월8일부터 4월2일까지 1일 2회 이상, 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

개인정보위는 가맹점주 최소 20만7538명의 정보를 조회해 카드 모집인에게 전달하고 우리신용카드 발급에 활용했음에도 불구하고, 해당 내역의 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다고 부연했다.

개인정보보호법은 수집·이용 범위를 초과해 개인정보를 이용하면 안 된다고 규정하고 있다. 개인정보위는 우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 마케팅에 활용한 것은 '개인정보 목적 외 이용·제공 제한 규정'을 위반한 것이라 판단했다. 또한 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것 또한 '주민등록번호 처리 제한 규정'을 위반했다고 설명했다.

우리카드는 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보 열람 권한 등을 개별 부서에 해당하는 영업센터에 위임해 운영하고 있다. 그러나 접근 권한 부여에 대한 현황을 파악하거나, 접속 기록 점검 등 내부 통제 작업을 소홀히 한 것으로 밝혀졌다. 영업센터에서는 월 3000만건 이상 대량 개인정보를 조회했지만, 이를 점검 혹은 조치하지 않은 것으로 나타났다.

개인정보위는 과징금과 더불어, 개인정보 오·남용을 방지하기 위해 내부 통제를 강화하고 접근 권한 최소화 등 안전 조치 의무를 준수할 것을 시정명령했다. 아울러 처분 받은 사실을 홈페이지에 공표하도록 했다.