연합뉴스개인정보보호위원회는 해커의 공격으로 221만명의 개인정보가 유출된 골프존에 대해 75억원의 과징금과 540만원의 과태료를 부과했다.
개인정보위원회는 8일 제8회 전체회의를 열고 개인정보보호 법규를 위반한 ㈜골프존에 대해 총 75억 4백만 원의 과징금과 540만 원의 과태료를 부과하고, 동시에 시정명령 및 공표명령을 의결했다고 9일 밝혔다.
㈜골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았고, 이 과정에서해커는 알 수 없는 방법으로 ㈜골프존 직원들의 가상사설망 계정정보를 탈취하여 업무망 내 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출했다.
이로 인해 업무망 내 파일서버에 보관돼 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보가 유출됐다. 일부의 경우 주민등록번호(5831명)와 계좌번호(1647명)도 유출됐다.
개인정보위 조사 결과 ㈜골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장되어 공유되고 있다는 사실을 인지하지 못했고 정보파일이 보관돼있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 드러났다.
또 코로나19로 재택근무가 급증할 때는 새로운 가상사설망을 긴급히 도입하는 과정에서 필요한 안전조치를 하지 않아 이로 외부에서 서버로의 원격접속 등 불필요한 접근이 허용되는 등 개인정보 유출을 방지하기 위한 안전조치가 소홀했던 것으로 나타났다.
이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다고 개인정보위는 전했다.
주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하고 있었고, 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위도 적발됐다.