해킹에 221만명 정보 털린 골프존…개보위, 과징금 75억원 부과
by김가은 기자
2024.05.09 14:37:16
업계 1위 골프존, 랜섬웨어 공격에 221만명 정보유출
내부 서버 원격접속 허용에도 안전조치 의무 소홀
주민등록번호 암호화 없이 보관 및 파기도 안해
[이데일리 김가은 기자] 실내 스크린골프연습장 업계 1위 골프존이 개인정보보호위원회로부터 과징금 75억원을 부과받았다. 해킹 공격으로 회원 221만명의 개인정보가 유출됐는데, 안전조치에 소홀했다는 이유다.
| 고학수 개인정보보호위원회 위원장이 5월 8일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제8회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다(사진=개인정보보호위원회) |
|
지난 8일 개인정보보호위원회는 전체회의를 열고 골프존에 과징금 75억원을 부과하기로 의결했다. 골프존은 지난해 11월 랜섬웨어 공격을 받아 회원 221만명이 이름, 이메일, 번호, 생년월일 등 개인정보를 유출당했다. 또 5831명의 주민등록번호와 1647명이 보유한 계좌번호도 함께 유출됐다.
공격자는 골프존 직원들의 가상사설망 계정정보를 탈취해 지난 11월 22일 업무망 내 파일서버에 원격접속했다. 이후 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다. 이 중에는 서버 관리자의 계정도 포함된 것으로 나타났다.
개인정보위는 골프존이 안전조치의무를 위반했다고 밝혔다. 먼저 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했고, 개인정보파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다.
구체적으로 코로나19 당시 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급 도입하는 과정에서 외부에서 내부 업무망에 ID와 비밀번호만으로 접속할 수 있도록 허용하했다. 그러나 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다.
이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐고, 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용됐다. 이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 외부로 파일을 유출할 수 있었던 것으로 조사됐다.
주민등록번호 등을 암호화하지 않고 파일서버에 저장?보관한 사실도 드러났다. 또 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위도 있었다.
개인정보위는 골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정하였다.
또한 △회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립?시행 △공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 △개인정보보호책임자의 위상과 역할 강화 △전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령하고 이러한 사실을 홈페이지 등에 공표하도록 명령했다.
개인정보위는 “이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정한 개인정보 보호법 규정이 실질적으로 적용된 첫 사례”라며 “이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대한다”고 말했다.