골프존 개인정보 유출사고에 대해서 조사 결과를 발표하도록 하겠습니다.

개인정보보호위원회는 5월 8일 제8회 전체회의를 열고 개인정보 보호 법규를 위반한 골프존에 대해 총 7억... 75억 400만 원의 과징금과 540만 원의 과태료를 부과하고 시정명령 및 공표명령을 의결하였습니다.

골프존은 지난해 11월 해커에 의해 랜섬웨어 공격을 받았고 이 과정에서 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취하여 업무망 내 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개한 바 있습니다.

이로 인해 업무망 내 파일서버에 보관되어 있던 약 221만 명 이상의 서비스 이용자 및 임직원의 개인정보가 유출되었습니다. 또 일부 경우에는 주민등록번호와 계좌번호도 함께 유출되었습니다.

개인정보위가 이번 유출사고에 대한 골프존의 개인정보보호법 준수 여부를 조사한 결과 확인된 위반사항에 대해서 설명드리도록 하겠습니다.

첫째, 안전조치의무 위반입니다.

골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장되어 공유되고 있다는 사실을 인지하지 못했고 개인정보파일이 보관되어 있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌습니다.

구체적으로는 코로나19에 따라 재택근무가 급증하자 골프존은 새로운 가상사설망을 긴급히 도입하는 과정에서 외부에서 관리자 및 전 직원의 내부 업무망에 ID, PW만으로 접속할 수 있도록 허용하였으며 업무망 안에 존재하는 파일서버에 대해 개인정보 유출 관련 보안위험을 검토하고 필요한 안전조치를 하지 않았습니다.

이로 인해 외부에서 서버로 원격접속 등 불필요한 접근이 허용되었고 서버 간의 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용되는 등 공유설정을 통한 개인정보 유출을 방지하기 위한 안전조치가 소홀하였습니다.

이에 해커는 탈취한 서버 관리자 계정으로 가상사설망을 통해 파일서버에 접근하였고 파일서버에서 외부로 파일을 유출할 수 있었습니다.

두 번째, 주민등록번호 처리제한 및 개인정보 파기 위반 사항입니다.

주민등록번호 등을 암호화하지 않고 파일서버에 저장·보관하고 있었습니다.

또한, 보유기간이 경과하거나 처리 목적 등이 달성되어 불필요하게 된 최소한의 38만 명 이상의 개인정보를 파기하지 않은 위반행위가 확인되었습니다.

개인정보위원회는 골프존에 대해 보호법 제28조 안전조치의무 위반으로 과징금을 부과하고, 같은 법 21조에 개인정보 파기 의무를 준수하지 않은 행위에 대해 과태료 부과를 결정하였습니다.

또한, 회사 내의 개인정보 처리 흐름에 대해 면밀하게 분석하고 실질적인 내부관리계획이 수립·시행될 수 있도록 하고, 또 공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무를 준수하고 개인정보 보호 책임자의 위상과 역할을 강화하는 한편, 전 직원을 대상으로 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령 하였으며 이러한 사실을 홈페이지 내에 공표하도록 명령하였습니다.

이번 처분은 지난해 기업 차원의 책임성을 강화하기 위해 개정된 개인정보보호법 규정이 실질적으로 적용된 첫 사례입니다. 아울러, 전통적으로 개인정보 처리가 많이 이루어지고 있는 서비스 영역뿐만 아니라 다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용되어야 함을 강조한 사례로서 이를 계기로 업무처리 전반에 개인정보 보호 수준이 향상될 것으로 기대합니다.

이상 마치겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 단일기업 과징금으로는 규모가 좀 큰 편이라고 보여지는데요. 이게 개정법이 적용이 돼서 이렇게 산정이 된 것인지, 아니면 위법성이 컸던 것인지, 위법성이 크다고 판단하셨으면 어떤 부분에서 문제가 가장 컸다고 판단하셨는지 궁금합니다.

<답변> 두 가지 케이스가 다 적용된다고 생각합니다. 개정법이 적용되어서 전통적으로 망 사업자의 경우에는 과징금이 적용되었지만 망 사업자가 아닌 오프라인 사업자의 경우에는 종전법에 따르면 과징금이 부과되지 않는 측면도 있었고요. 그에 따라서, 개정법에 따라서 과징금 부과 대상이 확대가 되었고, 또 저희가 형사처벌 조항을 삭제하면서 전체 매출액으로 과징금 대상을 확대하고 했기 때문에 과징금에 대한 엄격한 비례성하에 부과기준도 확대가 되었습니다. 이 두 가지가 다 동시에 적용된 케이스입니다.

<질문> 앞선 질문에 이어지는 질문인 것 같은데요. 그러면 이 75억 과징금 부과가 된 이 위반행위가 시행령에 규정된 위반행위의 중대성으로 따지면 어느 정도 수준으로 정리가 된 건지 궁금합니다.

<답변> 저희, 말씀해 주신 것처럼 시행령에서는 위반행위를 비례성에 따라서 엄격하게 산정하도록 되어 있습니다. 골프존은 매우 중대한 위반행위에 해당됩니다.

<질문> 과징금 산출 때 법 개정 이후로 직전 3개년도 전체 매출액의 평균에서 관련 없는 매출을 빼도록 되어 있는데요. 개인정보위에서 산정한 전체 매출액, 평균 전체 매출액과 그리고 관련 없는 매출액이 어느, 어느 항목이었는지 요청드리겠습니다.

<답변> 구체적인, 세부적인 사항들은 저희가 나중에 공개용 의결서 나온다고 하면 확인할 수 있으면 좋을 것 같습니다. 저희가 전체 매출액을 산정할 때 말씀하신 것처럼 위반행위 전년도, 3년도이기 때문에 2020년부터 2022년까지의 골프존 매출액을 평균으로 했었고요. 그 안에서 법과 시행령에 따라서 개인정보 처리와 관련 없는 재화서비스는 제외하도록 되어 있습니다.

예를 들자면 자재, 일반적인 소모적 자재 판매 이런 것들은 자재에서 개인정보 처리에 해당하지 않기 때문에 제외를 시켰고요. 또 해외로 수출되는 시뮬레이터 같은 경우는 해외에 판매된 다음에 해외 이용객의 정보가 국내 골프존으로 들어오지 않기 때문에 제외시켰습니다.

다만, 나머지 사항 등에 대해서는 개인정보 처리가 직접 이루어지는 영역에 대해서는 관련 매출액에 모두 산입을 시켰습니다.

<질문> 한 가지만 더 여쭙고 싶은데 개인정보위가 과징금 부과한 사례 중 국내 업체 중에 최고액이 맞는지 확인 부탁드립니다.

<답변> 이거 질문이 많으신 것 같아서 상세히 설명드리도록 하겠습니다. 과징금 중에서 제일, 단일기업으로 제일 많은 것은 구글이 2022년도에 692억 원이었고요. 메타가 308억 원, 단일기준으로 했을 때. 그런데 국내 기업으로는 골프존이 75억 원으로 현재까지는 제일 많은 케이스입니다. 그다음이 작년에 LGU+가 68억 원이었습니다.

<질문> 아까 전에 설명하셨을 때 매우 중대한 위반행위를 한 거라고 설명해 주셨는데 어떤 부분이 중대하다고 보신 건지 궁금합니다.

<답변> 저희가 중대성을 파악한, 판단하는 기준 자체가 법 위반 자체는 아까 말씀드렸지만 개인정보보호법 29조에 안전조치의무를 위반한 거는 맞고요. 같은 29조 위반이라 하더라도 그 내용과 경중에 따라서 저희가 시행령과 고시에 정한 4가지 기준을 검토해서 그 기준의 각각의 카테고리에 따라서 위반행위에 대한 사항 등을 판정하고 있습니다.

예를 들어서 고위 과실이, 과실이 어느 정도라든지 또는 위반행위에 대한 방법 이런 것에 대해서 부당성이 어느 정도인지, 그다음에 유출된 개인정보 유형, 이런 경우에 있어서는 고유식별번호, 주민등록번호 갖고 있기 때문에 굉장히 높은 위반행위를 갖고 있고요.

피해 규모 영향 이런 판단에 있어서도 유출된 내용 또 규모, 또 다크웹에 올라왔기 때문에 또 불법적 접근에 활용할 수 있던 경로, 이런 것들을 종합적으로 고려해서 매우 중대한 위반이라고 나오게 됐습니다.

<질문> 그러면 이게 골프존의 경우 개정법 이전에는 과징금 처분 대상이 아예 아니었던 건가요?

<답변> 복합적으로 섞여 있습니다. 사실 개정법 이전에는 오프라인 사업자 같은 경우는 형사처벌 및 과태료 부과 대상이 될 수 있고요. 주민등록번호 같은 경우는 그 자체로 또 금액은 작지만 과징금 부과 대상이 일부 됩니다. 전체적으로는 금액이 좀 작게 나올 수는 있습니다. 과징금 부과될 수 있는 영역도 일부 갖고는 있습니다.

그러니까 이렇게 복합적인 사업을 하는 경우에는 사업자 지위에 따라서 망 사업자 영역에 적용될 수 있는 영역도 있고 일반 오프라인 사업자여도 갖고 있기 때문에 이런 오토 영역이 결합되기 때문에 법을 개정해서 영역을 나누지 말고 하나로 개인정보 처리자로 바꾸게 된 케이스였고요.

그래서 여러, 몇 분들이 종전법을 적용했을 때 얼마 나오냐 물어보셨는데 이게 가상으로 적용해서 검토하긴 어려움이 있습니다. 그래서 그건 양해해 주시기 바랍니다.

<질문> (온라인 질의 대독) 현장 질의가 없으시면 사전에 문자로 보내주신 질문에 대해서 답변드리는 시간 갖도록 하겠습니다.

먼저, KBS 기자님 질문 주셨는데요. 랜섬웨어 공격 발생 시점이 지난해 11월 10... 22일인 것 같은데 골프존이 위원회에 신고한 시점이 지난해 12월 14일이 맞는지요? 골프존이 개인정보 유출 사실을 인지한 시점은 언제인지 궁금합니다.

또 '개인정보 유출 사실 인지한 뒤 72시간 내에 피해사실을 신고해야 하는데 늑장 신고한 것은 아닌지 궁금합니다.'라는 질문입니다. 답변 부탁드리겠습니다.

<답변> 이 부분이 개인정... 골프존 유출이 밝혀진 12월이었었고요. 그 시점에서 언론 등에서 많이 제기된 사항으로 저희도 기억하고 있습니다. 랜섬웨어 감염이 일어난 사건은 작년 11월 22일부터 23일 이렇게 저희가 알고 있고요.

그다음에 저희 위원회에 유출 신고가 된 날짜는 12월 12일입니다. 그래서 그 사이에 간격이 있다 보니까 개인정보 처리장인 골프존이 유출사실에 대해서 인지하고 있었느냐? 이것이 쟁점이 돼서 저희도 그 부분에 대해서 이번에 면밀하게 조사를 실시하였습니다.

개인정보보호법에서는 유출 있었던 거는 알았던 때로부터 72시간 내에 신고를 하게 돼 있고 과태료 부과사항으로 되어 있긴 합니다. 저희가 조사를 한 결과 아까 보도자료에서 간단하게 설명드리긴 했지만 통상적인 데이터베이스 영역이 있고 내부 업무망 이렇게 나눠져 있는데요. 저희가 조사 결과 개인정보가 내부 업무망에서 대량으로 운영되고 있던 사실에 대해서 골프존 측에서 전혀, CPO 파트에서 전혀 파악을 하고 있지 못했었습니다.

그래서 유출사고 발생으로 추정되는 랜섬웨어 감염이 일어나서 해커로부터 협박을 받았을 때 데이터베이스 영역에 대해서는 DB존을 분석했었는데, 업체 측에서. 업체 측에서 분석한 결과 여기서 유출 경위가 밝혀진 것 같지 않다, 밝혀진... 나오지 않았기 때문에 아마 그 당시에 개인정보 유출이 없었던 것으로 추정하고 아마 발표한 것으로 알고 있습니다.

다만, 나중에 봤을 때 저희가 조사해서 확인한 결과에는 현재 유출이 발생했었던 내부 업무망에 대해서는 개인정보를 보유하고 있었던 사실, 관리조차 돼 있지 않았기 때문에 랜섬웨어 협박을 당한 직후에 내부 업무망에 대해서 점검을 전혀 하지 않았었습니다. 그렇기 때문에 유출이 발생했다는 사실을 확인하지 못한 것으로 저희가 조사가 되었습니다.

어떻게 보면 이 사건이 발생하게 된 근본 원인이기도 한데요. 이렇게 대량의 개인정보를 파일서버에, 220만 건이면 대략 골프존 회원 규모의 한 44% 정도 됩니다. 이 정도의 대량의 개인정보를 파일서버에 운영하면서 실제로 보호조치는 또 하지 않았고, 뿐만 아니라 개인정보가 거기에 보관되고 운영되고 있는 사실 자체를 개인정보 책임자 파트에서 인지를 전혀 못 하고 있었습니다. 그렇기 때문에 랜섬웨어 감염이 일어난 직후에 점검을 할 때도 내부 업무망에서는 배제한 상태에서 데이터베이스만 체크가 됐었던 것입니다.

<질문> (온라인 질의 대독) 다음은 연합뉴스의 기자님께서 보내주신 질문입니다. 지난해 11월 23일 골프존은 서비스 장애로 사칭 문자가 발송됐지만 개인정보 유출은 없었다고 한 바 있습니다. 이번 개인정보위 조사 결과로 미뤄볼 때 이는 거짓 해명 또는 개인정보 유출 은폐라고 보이는데요. 이에 대한 위원회의 판단은 어떠한가요, 라는 질문입니다.

<답변> 앞선 질문과 같은 걸로 이해하면 될 것 같습니다.

<질문> (온라인 질의 대독) 다음은 KBS 기자께서 질문 주셨습니다. 질문 3개 주셨는데 먼저 한 가지 질문은 아까 답변이 나온 것 같아서 두 가지 질문에 대해서 먼저 답변드리겠습니다.

먼저 첫 번째, 골프존은 외부에서 내부 업무망의 아이디와 패스워드만으로 접속할 수 있도록 했다는데 다른 인증은 전혀 없었나요? 예를 들어 직원이 사번을 입력하면 SNS나 문자메시지 또는 메일로 1회용 인증번호를 받아서 그것까지 입력해야 접속할 수 있다거나 하는 장치 등이 있는지 말입니다.

그리고 두 번째 질문은 이번에 골프존에 부과된 과징금은 75억입니다. 기업이 개인정보 보호에 기울인 노력도 과징금 액수를 정할 때 일부 반영되는지요? 그렇다면 2022년과 지난해 골프존이 정보보호를 위해 쓴 예산은 얼마 정도인지요, 라는 질문입니다.

<답변> 첫 번째 질문 답변드리도록 하겠습니다. 한번 다시 한번 리뷰를 해드리면, 이게 유출된 경위와 유출이 발생이 된 원인 이렇게 나누어지는데 근본적인 원인은 사내 전체 또 부서별로 파일을 공유할 수 있도록 파일서버를 운영하고 있었는데 개인정보 측면에서 파일서버에 대한 기술적·관리적 안전조치가 전혀 없었다는 것이 문제의 핵심입니다.

예를 들어서 업무가 완료되면 파일서버에 보관하고 있는 개인정보 파일을 삭제하거나 유효기간을 설정해서 이런 조치하는 등의 조치가 있었어야 되는데 그런 정책이 없었고요. 또 정기적으로 개인정보를 포함한 파일을 탐지하거나 통제하는 수단, 수행도 전혀 이루어지지 않았었습니다. 이런 과정에서 대규모로 파일서버에 개인정보가 존재하고 있었고요.

그래서 유출이 경유하게 된 원인 자체는 이렇게 데이터베이스에서 파일서버로 대규모로 개인정보가 운영되고 있는 거를 모르고 있었고, 그러다 보니까 아까 코로나 과정에서 업무를 편의적으로 처리하기 위해서 VPN를 열었는데 이걸 관리자뿐만 아니라 전 직원이 ID, PW로 접근한 케이스입니다.

직원은 그렇다 치더라도 관리자 권한을 ID, PW만으로 접근하게 했고 그 관리자 권한을 통해서 파일서버에 원격접속할 수 있었고, 또 접속한 다음에 모든 파일서버에 원격접속해서 그 파일을 다 볼 수 있게 됐기 때문에 해커가 그 파일을 다 볼 수 있었고요. 다 가져와서 파일서버에서 다이렉트로 인터넷 접속을 통해서 외부로 유출할 수 있는 경로가 열려 있습니다, 방화벽에.

그래서 방화벽 정책이 그렇게 잘못되어 있었기 때문에 관리자 권한이 ID, PW만으로 외부에서 VPN 통해서 접속하고 모든 파일서버에 접속할 수, 접근할 수 있었고 파일서버에서 곧바로 인터넷으로 연결돼서 나갈 수 있는 방화벽의 잘못된 정책으로 인해서 대량의 개인정보 유출사고가 일어났다. 이 세 가지 중의 하나라도 제대로 조치했으면 유출 사고를 막을 수 있었겠다, 라는 판단하였습니다.

두 번째 질문 주신 것 중에 저희 과징금 부과 대상, 아까 4가지 규정 말씀드렸는데요. 4가지 기준에 상, 중, 하로 판단하도록 시행과 고시에 규정이 돼 있습니다. 그 내용에 추가적인 보호조치라든가 이런 것도 있고요.

감경 사유에는 개인정보 인증 이런 것들을 하게 되면 또 감경해야 되는 기준도 고시로 갖고 있습니다. 그래서 보호... 개인정보 보호를 충실하게 하면 설사 조금 미진하거나 보호조치가 충분치 않아도 다른 보호조치로 감경을 받을 수 있는 장치 등을 저희가 개인정보법 개정 과정에서 충실하게 반영을 많이 했습니다. 다양한 감경조치를 갖고 있었고요. 여기 적용된다는 얘기가 아니고 규정이 갖고 있다는 말씀드리고요.

두 번째 질문 주신 골프존이 정보보호, 정보보호를 위해 쓴 예산, 이렇게 질문하신 것 같은데 기업 내부의 사항을 구체적으로 말씀드리긴 어려움이 있고요. 다만, 어제 저희 위원회 심의 과정에서 골프존 대표와 CPO가 참여를 해서 전년 대비 올해 4배에 달하는 규모의 예산을 개인정보 보호와 정보보호에 투자하겠다는 입장을 밝힌 바 있습니다. 그 정도만 말씀드리겠습니다.

<답변> (사회자) 이외에도 아주경제 기자님께서 두 가지 질문 주셨는데요. 그거는 현장에서 비슷한 질문이 나와서 거기는 답변을 해 주신 관계로 그 현장 답변으로 갈음하도록 하겠습니다.

이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주신 기자분들께 다시 한번 감사 말씀드립니다.

<답변> 감사합니다.

<끝>