내부통제 강화·관리감독 철저 시행 명령
"DB접근 차단, 외부메일 통제, 임직원 교육, 시스템 개선 완료"
[디지털포스트(PC사랑)=김호정 기자 ] 개인정보보호위원회가 가맹점주의 개인정보를 동의없이 마케팅에 활용한 우리카드에 대해 134억5100만원의 과징금을 부과했다. 우리카드는 추가 사고를 막기 위해 내부통제 강화와 함께 외부메일 통제 시스템 개선에 나섰다.
개인정보위는 지난 26일 전체회의를 열고 우리카드에게 개인정보보호법 위반으로 과징금과 시정명령 등을 의결했다고 밝혔다. 우리카드가 개인정보 마케팅 활용에 동의하지 않은 가맹점주 7만4692명의 정보를 무단으로 사용했다는 이유다.
앞서 개인정보위는 지난해 4월 우리카드의 신고와 '우리카드 가맹점주의 개인정보가 카드 신규 모집에 이용된다'는 언론 보도에 따라 조사에 착수했다.
조사 결과 우리카드 인천영업센터는 신규 카드발급 마케팅을 하는 과정에서 영업실적을 올리기 위해 2022년 7월부터 2024년 4월까지 카드 가맹점의 사업자등록번호를 관리 프로그램에 입력하고 가맹점주 13만1862명의 이름, 주민등록번호, 휴대전화 번호 등 개인정보를 조회한 것으로 확인됐다.
인천영업센터는 카드발급심사 프로그램으로 가맹점주가 우리신용카드를 보유하고 있는지 확인한 뒤 이를 문서화해 카드 모집인 등 8명이 참여한 카카오톡 단체 채팅방에 공유했다.
아울러 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스(DB)에서 정보조회 명령어를 사용해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일을 생성했다. 이처럼 가맹점주 7만5676명의 개인정보가 포함된 파일은 지난해 1~ 4월까지 총 100회에 걸쳐 카드 모집인에게 이메일로 전달된 것으로 조사됐다.
개인정보위는 "우리카드가 최소 20만 7538명의 가맹점주의 정보를 조회해 신규 카드 발급을 위한 마케팅에 활용했다"며 "이 중 7만4692명은 개인정보 마케팅 활용에 동의하지 않은 가맹점주"라고 설명했다.
그러면서 "이는 개인정보 목적 외 이용·제공 제한 규정(제18조제1항)을 위반한 것이며, 가맹점 관리 등의 목적으로 수집한 개인 정보를 신규 카드 발급 등에 활용한 행위는 주민등록번호 처리의 제한 규정(제24조의2제1항)을 위반한 것"이라고도 부연했다.
아울러 DB 접근 권한, 파일 다운로드 권한 및 표시 제한된 개인정보의 열람 권한 등을 영업센터에 위임하여 운영하는 등 내부통제도 소홀했다고 지적했다.
개인정보위는 우리카드에 과징금을 부과하는 한편, 개인정보 오남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치 의무 준수, 개인정보 취급자에 대한 관리·감독 강화 등 시정명령을 내렸다. 또한 이번 처분 사실을 홈페이지에 공표하도록 했다.
우리카드는 해당 사고 직후, 인천영업센터 직원의 내부단말거래 시스템에 대한 접근권한을 신속히 정리하고 DB 접근권한을 일괄 회수했다고 밝혔다. 이어 모든 외부메일을 반출할 때 정보보호부 승인을 거치도록 하는 등 추가 조치를 내렸다고 했다.
우리카드 관계자는 "개인정보위의 지적사항에 대해 깊이 반성하고 있다"며 "재발 방지를 위해 DB 접근 통제 강화, DB 권한 분리 개선, 외부메일 통제 강화 등 시스템을 개선했다"고 말했다.
이 관계자는 "재발 방지를 위해 임직원 교육 및 정보보호 시스템 상시점검 등 내부통제를 더욱 강화할 예정이며, 외부메일 개인정보검출 시스템 구축도 진행하고 있다"고 강조했다.
