개인정보보호위원회는 개인정보 보호법을 위반한 ㈜우리카드에 134억 5,100만 원의 과징금 부과와 더불어 시정명령·공표명령을 의결하였다.
개인정보위는 24년 4월 ㈜우리카드의 신고와 함께 (주)우리카드 가맹점 대표자의 개인정보가 카드 신규 모집에 이용된다는 언론보도 등에 따라 조사에 착수하였고, 조사 결과 ㈜우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이이를 카드 모집인에게 전달한 사실을 확인하였다.
㈜우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를위해 22년 7월부터 24년 4월까지 카드가맹점의 사업자등록번호를 가맹점관리 프로그램에 입력하여 가맹점주 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회하였고, 카드발급심사 프로그램에서 가맹점주의 주민등록번호를 입력하여, 해당 가맹점주가 ㈜우리카드에서 발급한 신용카드를 보유하고있는지 확인한 후, 출력된 가맹점 문서에 이를 기재 및 촬영하여 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유하였다.
특히, ’23년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 DB에서 정보 조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성하였으며, 24년1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 75,676명의 개인정보를 카드 모집인에게 이메일로 전달하였다.
결과적으로, 최소 207,538명의 가맹점주의 정보를 조회하여 이를 카드 모집인에게 전달하였고 해당 정보는 우리신용카드 발급을 위한 마케팅에 활용되었는데, 해당 내역의 가맹점주 중 74,692명은 마케팅 활용에 동의한 사실이 없었다.
개인정보보호법은 수집‧이용 범위를 초과하여 개인정보를 이용하여서는 안 된다고 규정하고 있으며, ㈜우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용‧제공 제한 규정(보호법 제18조제1항)을 위반한 것이다.
또한, 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)도 위반한 것이다.
또한, ㈜우리카드가 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가포함된 개인정보의 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임하여 운영하고 있으면서, 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로도 밝혀졌다. 즉, 안전조치 의무를 위반한 것이다.
결국 ㈜우리카드의 핵심 문제는 영업센터 직원 업무와 무관하게 DB 접근권한을 부여하여 가맹점주 정보를 조회할 수 있게 했다는 것이다. 최소 권한의 원칙을 지키지 않은 것이다.
심지어 영업센터에서 월 3천만 건 이상의 대량 개인정보 조회‧다운로드가 발생하였음에도 이를 점검‧조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보를 조회‧이용하는 것을 방치하고 있었다.
이에 따라, 개인정보위원회는 ㈜우리카드가 가맹점주의 개인정보를 목적 외로이용한 행위 등에 대해 과징금 134억 5,100만 원을 부과하는 한편, 개인정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 하였다.
'보안 > 뉴스' 카테고리의 다른 글
| 개보위, 개인정보 손해배상책임보장제도 합리화 방안 발표 (0) | 2025.03.31 |
|---|---|
| 개인정보위, 2024년 개인정보 유출 신고동향 분석결과 발표 (0) | 2025.03.21 |
| 2025 NIST 비밀번호 가이드라인의 주요 업데이트 (0) | 2025.03.19 |
| 개인정보위, 24년 개인정보 처리방침 평가 결과 공개 (0) | 2025.03.18 |
| GPT를 현명하게 이용하는 법 (0) | 2025.03.04 |