우리카드가 약 7만4000여명의 가맹점주의 개인정보를 무단으로 활용해 적발됐다. 총 134억원의 과징금을 물게됐다. 우리카드는 재발 방지를 위해 DB 접근 통제 강화 등 시스템을 개선한데 이어 정보보호 관리 시스템도 구축할 예정이다.
27일 개인정보보호위원회에 따르면 전날 개인정보위는 우리카드에 개인정보보호법 위반을 이유로 과징금과 시정명령 등을 전체회의에서 의결했다.
지난 4월 개인정보위는 '우리카드 가맹점 대표자(가맹점주)의 개인정보가 카드 신규 모집에 이용된다'는 신고로 조사에 착수했다.
조사 결과 우리카드 인천영업센터가 2022년 7월~2024년 4월까지 카드가맹점 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만1862명의 이름과 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회한 것으로 나타났다. 신규 카드발급 마케팅을 통해 영업실적을 올리려는 목적이었다.
또 카드발급심사 프로그램에서 가맹점주 주민번호를 입력해 우리카드에서 발급한 신용카드를 보유하고 있는지 확인했다. 가맹점 문서에 이를 기재해 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유했다.
지난해 9월부터는 가맹점주 및 카드회원 개인정보를 처리하는 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했다.
지난해 1∼4월에는 모두 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.
최소 20만7538명의 가맹점주 정보를 조회해 이를 카드 모집인에게 넘겼고, 해당 정보는 우리신용카드 발급을 위한 마케팅에 쓰였다.
문제는 이중 7만4692명은 마케팅 활용에 동의한 사실이 없다는 점이다. 이는 개인정보보호법에서 이용 범위를 초과해 개인정보를 사용해선 안 된다고 한 규정을 위반한 행위다. 아울러 개보위는 주민번호 처리의 제한 규정을 어긴 것이라고 판단했다.
이밖에 우리카드가 ▲DB 권한 ▲파일 다운로드 권한 ▲주민등록번호가 포함된 개인정보 열람 권한을 영업센터에 위임해 접근권한 부여 현황 파악 및 접속기록 점검 등 내부통제를 소홀히 한 사실도 조사에서 드러났다. 이에 따라 개보위는 우리카드에 과징금 134억5100만원을 부과했다.
이에 대해 우리카드는 사고 직후 원인으로 지적된 영업센터 직원 내부단말거래 시스템에 대한 접근권한을 정리하고 DB 접근권한을 일괄 회수했다고 설명했다. 또 모든 외부메일 반출 시 정보보호팀 승인을 거치도록 하는 등 추가 조치를 취했다.
우리카드 관계자는 "개인정보위 지적사항에 대해 깊이 반성하고 있으며, 재발 방지를 위해 DB 접근 통제 강화, DB 권한 분리 개선, 외부메일 통제 강화 등 시스템을 개선했다"며 "임직원 교육 및 정보보호 시스템 상시 점검 등 내부통제를 더욱 강화하고 외부메일 개인정보검출 시스템 구축 등 정보보호 관리 시스템 구축 역시 진행하고 있다"고 말했다.
전대현 기자
jdh@chosunbiz.com