개인정보 안전조치 소홀로 과징금 75억, 과태료 540만원 처분 받아
가상사설망 도입하면서 ID·PW만으로 접속허용…내부 망 보안 조치 미비
개인정보 암호화 조치도 없어…보관 이유 없는 다량의 정보 파기 안 해
[서울=뉴시스]송혜리 기자 = 지난해 221만명분의 개인정보가 유출된 골프존 사이버 공격 사고는 직원들의 가상사설망(VPN) 아이디(ID)와 비밀번호(PW) 등 계정정보 해킹이 발단이 됐다.
해커는 이 정보만으로 회사 내 관리서버와 다량의 개인정보가 담겨있는 파일서버에 접근, 파일을 외부로 유출했다.
골프존은 중요 개인정보를 암호화해 보관하지 않았을 뿐 더러, 업무망 내부 보안에 관심을 기울이지 않았던 것으로 개인정보보보호위원회 조사 결과 드러났다.
개인정보위는 "다양한 고객정보를 취급하는 내부 업무영역에서도 철저한 개인정보 보호조치가 적용돼야 함을 강조한 사례"라고 강조했다.
국내 기업이 받은 과징금 중 최고액…VPN 계정만으로 핵심 파일에 접근
개인정보위에 따르면 골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 사고 당시만 해도 랜섬웨어 공격을 통해 스크린 골프 이용 고객들의 불편을 유도, 이를 빌미로 골프존을 협박하려는 범행인 줄 알았다. 그러나 해커는 회원들의 개인정보까지 탈취한 것으로 드러났다.
해커는 탈취한 서버 관리자 계정으로 가상사설망(VPN)을 통해 파일서버에 접근하고, 파일서버에서 외부로 파일을 유출했다. 어떻게 서버 관리자 등 직원들의 가상사설망 계정을 빼냈는지는 확인되지 않았다.
해커는 회사 업무망 관리서버(AD서버)와 파일서버에 원격접속하고 파일서버에 저장된 파일을 외부로 유출한 후 다크웹에 공개했다.
이로 인해 파일서버에 보관돼 있던 약 221만명 이상의 이용자·임직원의 이름, 전화번호, 이메일, 생년월일, 아이디 등 개인정보가 유출됐다. 이 가운데 5831명은 주민등록번호, 1647명은 계좌번호도 유출됐다.
개인정보위 조사결과, 골프존은 코로나19로 재택근무가 급증하자 새로운 가상사설망을 급하게 도입하면서 외부에서 내부 업무망에 ID와 PW만으로 접속할 수 있도록 하는 등 허술한 보안 체계를 갖춘 상태였다.
또 업무망 안에 존재하는 파일서버에 대해서도 개인정보 유출 관련 보안 위협을 검토하고, 필요한 안전조치를 하지 않았다. 이로 인해 외부에서 내부 서버에 원격접속이 되는 등 불필요한 접근이 허용됐고, 또 서버 간 원격접속과 업무망 내 모든 서버의 인터넷 통신이 허용됐다.
개인정보위는 "골프존은 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실을 인지하지 못했다"면서 "개인정보파일이 보관돼 있는 파일서버에 대한 주기적 점검 등 관리체계를 미흡하게 운영한 것으로 밝혀졌다"고 설명했다.
개인정보 암호화도 안해…보관 이유 없는 정보까지 그대로 방치
구체적으로 회사는 준회원 중 현재 회원으로 확인되지 않은 38만3365명의 정보와 임직원 정보 중 퇴사해 보유 근거가 없는 2916명의 정보를 계속 보관하고 있었다. 또 인턴사원·전문연구요원 1159명의 채용관련 정보와 기타 고객응대(VOC) 관련 이용자·점주의 개인정보 등도 파기하지 않았다.
개인정보위는 골프존에 안전조치의무 위반으로 과징금을 부과하고, 개인정보 파기의무를 준수하지 않은 행위에 대해 과태료 부과를 결정했다.
또 ▲회사 내의 개인정보 처리흐름에 대한 면밀한 분석을 통한 실질적인 내부관리계획 수립·시행 ▲공유설정 등을 통해 개인정보가 유출되지 않도록 조치하는 등 안전조치의무 준수 ▲개인정보보호책임자의 위상과 역할 강화 ▲전 직원 대상 개인정보 보호 교육을 주기적으로 실시할 것을 시정명령한 동시에, 이러한 사실을 홈페이지 등에 공표하도록 명령했다.
◎공감언론 뉴시스 [email protected]