골프존 '먹통 사태' 당시 골프존 모바일앱 화면 갈무리 © News1 김민석 기자
골프존은 재발을 막고 고객 신뢰를 회복하기 위해 올해 정보보호 투자 및 유지보수에 70억 원을 투자하겠다고 밝혔다.
9일 개인정보보호위원회는 전체회의를 통해 골프존의 정보유출 사고가 회사측의 부실한 관리에 기인한 점이 인정된다며 75억 원의 과징금과 540만 원의 과태료를 부과했다.
이에 골프존은 입장문을 통해 "이번 일로 고객분들에게 불편을 끼쳐드린 점 사과의 말씀을 드린다"며 "개인정보보호 책임자를 포함한 개인정보 전문인력을 충원해 개인정보 보호 조직체계를 강화하고 있다"고 밝혔다.
구체적으로 골프존은정보보호 투자·유지보수 예산으로 약 70억 원을 투입한다. 이는 전년(약 17억5000만 원) 대비 4배 이상 증가한 수치라고 회사는 설명했다.
골프존은 사태 재발을 막기 위해 '2024년 정보보호 추진계획'을 수립하고 개인정보보호책임자를 포함한 전문 인력을 충원했다고 전했다.
골프존 관계자는 "정보보호 조직을 개인정보 분야와 보안기술 분야로 양분해 확대할 예정"이라며 "지난달 개인정보보호책임자를 영입하는 등 개인정보 전문인력을 충원해 개인정보 보호 조직체계를 강화하고 있다. 이를 통해고객 신뢰를 회복할 수 있도록 각고의 노력을 다하겠다"고 말했다.
골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받아 서비스 이용자(고객)과 임직원약 221만 명의개인정보가 유출되는 사태에 휩싸였다. 해커는 같은 달 22일업무망 내 파일서버에 원격 접속하고, 파일서버에 저장된 파일을 외부로 유출한 뒤 다크웹에 공개했다.
같은 시기 골프존 공식 홈페이지와 모바일 앱은 5~6일 간 '먹통' 상태가 이어졌다. 골프존은 당시 랜섬웨어 공격을 받은 것을 인지하고도 "고객정보 유출이 없었다"고 변명했다. 그러나 이후 고객정보 유출 사실이 확인되면서 골프존이 사태를 축소하기 위해 은폐하려 한 것 아니냐는 의혹도 일었다.
골프존은 당시 "골프존 웹사이트 회원 데이터베이스(DB)와 관련해 침해 사실이 확인되지 않았고유출 사실을 감추려고 했던 사실은 전혀 없었다"고 해명했다.
개인정보보호위원회는 12월 중순 골프존으로부터 개인정보 유출 신고를 받고 조사에 착수했다. 조사 결과 골프존이 안전조치의무를 위반하고 주민등록번호 처리제한·개인정보 파기에 대해서도 위반한 사실을 확인했다.
유출 개인 정보엔 △이름 △전화번호 △이메일 △생년월일 △아이디 등이 포함됐다. 주민등록번호(5831명)와 계좌번호(1647명)도 일부 유출됐다.
골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했고, 개인정보파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다.
골프존은 또개인정보 유출 방지를 위한 안전조치가 전반적으로 소홀했다.서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용됐고, 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관했다. 처리목적 달성 등으로 보유 기간이 지난 개인정보(약 38만 명)에 대해서도파기를 하지 않는 잘못도 저질렀다.
이 점을 노려 해커는 탈취한 서버 관리자 계정으로 가상사설망으로 파일서버에 접근해 개인정보 등을 유출할 수 있었다.
한편 개보위의 처분은 지난해 기업 차원의 책임성을 강화하기 위해 2023년 3월 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례다.
골프존이 경영주 대상으로 전달한 보상안 일부(독자 제보)
ideaed@news1.kr