골프존이 개인정보 유출사고로 총 75억 4백만원의 과징금과 540만원의 과태료를 부과받았다.

개인정보보호위원회는 지난 8일 제8회 전체회의를 열고, 과징금과 더불어 골프존에 대한 시정명령 및 공표명령을 의결했다.

이와 관련해 골프존은 9일 개인정보 해킹사건 관련, 골프존의 입장문을 전했다.

골프존은 "이번 일로 고객분들에게 불편을 끼쳐드린 점 사과의 말씀드린다"며 "개인정보 보호법을 준수하고 정보보안 강화를 위해 2024년 정보보호 추진계획을 수립했으며, 올해부터 전년 대비 4배 규모의 정보 보호 투자를 적극적으로 추진하고 있다"고 밝혔다.

또 "개인정보보호책임자를 포함한 개인정보 전문인력을 추가 충원하여 개인정보 보호 조직체계를 강화하고 있다"며 "앞으로 보다 개선된 서비스를 제공하여 고객분들의 신뢰를 회복할 수 있도록 각고의 노력을 다하겠다"고 전했다.

한편 골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았고, 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격접속(’23.11.22.)하고 파일서버에 저장된 파일을 외부로 유출(’23.11.22.~23.)한 후 다크웹에 공개했다.

이로 인해 업무망 내 파일서버에 보관돼 있던 약 221만명 이상의 서비스 이용자 및 임직원의 개인정보(이름, 전화번호, 이메일, 생년월일, 아이디 등)가 유출됐고, 일부의 경우 주민등록번호(5,831명)와 계좌번호(1,647명)도 유출됐다.
 
개인정보위가 이번 유출사고에 대한 ㈜골프존의 개인정보 보호법 준수 여부를 조사한 결과, 코로나19로 재택근무가 급증하자 ㈜골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 허용했음에도, 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위협을 검토하고 필요한 안전조치를 하지 않았다는 점을 지적했다.

이로 인해 외부에서 서버로의 원격접속 등 불필요한 접근이 허용됐고, 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치가 소홀했다.

이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하고 파일서버에서 외부로 파일을 유출할 수 있었다.

또한, 주민등록번호 등을 암호화하지 않고 파일서버에 저장‧보관하고 있었고, 보유기간이 경과되거나, 처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보를 파기하지 않은 위반행위가 있었다.

개인정보위는 ㈜골프존에 대해 보호법 제29조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 제21조 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.

이 밖에도 △회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립‧시행, △공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수, △개인정보보호책임자의 위상과 역할 강화, △전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령한 동시에, 이러한 사실을 홈페이지 등에 공표하도록 명령했다.