"스크린 굿샷 외치다 개인정보 날렸다"…골프존 역대급 과징금 제재

등록 2024.05.09 14:35:39수정 2024.05.09 18:30:52

개인정보 안전조치 소홀로 과징금 75억, 과태료 540만원 처분 받아

가상사설망 도입하면서 ID·PW만으로 접속허용…내부 망 보안 조치 미비

개인정보 암호화 조치도 없어…보관 이유 없는 다량의 정보 파기 안 해

[그래픽]

[서울=뉴시스]송혜리 기자 = 지난해 221만명분의 개인정보가 유출된 골프존 사이버 공격 사고는 직원들의 가상사설망(VPN) 아이디(ID)와 비밀번호(PW) 등 계정정보 해킹이 발단이 됐다.

해커는 이 정보만으로 회사 내 관리서버와 다량의 개인정보가 담겨있는 파일서버에 접근, 파일을 외부로 유출했다.

골프존은 중요 개인정보를 암호화해 보관하지 않았을 뿐 더러, 업무망 내부 보안에 관심을 기울이지 않았던 것으로 개인정보보보호위원회 조사 결과 드러났다.

개인정보위는 "다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례"라고 강조했다.

국내 기업이 받은 과징금 중 최고액…VPN 계정만으로 핵심 파일에 접근

개인정보위는 9일 개인정보보호법을 위반한 골프존을 상대로 총 75억400만원의 과징금과 540만원의 과태료를 부과하고, 동시에 시정명령·공표명령을 의결했다고 밝혔다. 이는 그간 개인정보보보호 법규를 위반한 국내 기업 중 가장 많은 액수의 과징금 규모다.

개인정보위에 따르면 골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 사고 당시만 해도 랜섬웨어 공격을 통해 스크린 골프 이용 고객들의 불편을 유도, 이를 빌미로 골프존을 협박하려는 범행인 줄 알았다. 그러나 해커는 회원들의 개인정보까지 탈취한 것으로 드러났다.

해커는 탈취한 서버 관리자 계정으로 가상사설망(VPN)을 통해 파일서버에 접근하고, 파일서버에서 외부로 파일을 유출했다. 어떻게 서버 관리자 등 직원들의 가상사설망 계정을 빼냈는지는 확인되지 않았다.

해커는 회사 업무망 관리서버(AD서버)와 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.

이로 인해 파일서버에 보관돼 있던 약 221만명 이상의 이용자·임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 개인정보가 유출됐다. 이 가운데 5831명은 주민등록번호, 1647명은 계좌번호도 유출됐다.

개인정보위 조사결과, 골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망을 급하게 도입하면서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 하는 등 허술한 보안 체계를 갖춘 상태였다.

또 업무망 안에 존재하는 파일서버에 대해서도 개인정보 유출 관련 보안 위협을 검토하고, 필요한 안전조치를 하지 않았다. 이로 인해 외부에서 내부 서버에 원격접속이 되는 등 불필요한 접근이 허용됐고, 또 서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용됐다.

개인정보위는 "골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다"면서 "개인정보파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다"고 설명했다.

개인정보 암호화도 안해…보관 이유 없는 정보까지 그대로 방치

개인정보위 조사결과, 골프존은 주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었던 것으로 드러났다. 또 보유기간이 경과되거나, 보유하지 않아도 되는 최소 38만여명의 개인정보도 파기하지 않고 그대로 보관하고 있었다.

구체적으로 회사는 준회원 중 현재 회원으로 확인되지 않은 38만3365명의 정보와 임직원 정보 중 퇴사해 보유 근거가 없는 2916명의 정보를 계속 보관하고 있었다. 또 인턴사원·전문연구요원 1159명의 채용관련 정보와 기타 고객응대(VOC) 관련 이용자·점주의 개인정보 등도 파기하지 않았다.

개인정보위는 골프존에 안전조치의무 위반으로 과징금을 부과하고, 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.

또 ▲회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립·시행 ▲공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 ▲개인정보보호책임자의 위상과 역할 강화 ▲전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령한 동시에, 이러한 사실을 홈페이지 등에 공표하도록 명령했다.

◎공감언론 뉴시스 [email protected]