
한양CC에는 과징금 1억4800만원과 과태료 1230만원을, 서울CC에는 과징금 5310만원, 과태료 990만원 등을 각각 부과했다.
골프장을 운영하는 양사는 골프장 회원으로부터 스팸문자를 수신했다는 민원 전화를 받고 개인정보 유출 사실을 인지했다.
개인정보위 조사결과, 해커는 사전 획득한 관리자 계정정보로 한양CC 홈페이지에 접속해 총 8만7923명의 서울CC와 한양CC 회원들에게 스팸문자를 발송했다. 사고 당시 서울CC는 한양CC에 회원정보 처리를 위탁하고 있었다. 한양CC가 같은 시스템으로 골프장 회원 정보를 관리하다 보니 서울CC 회원에게도 스팸문자가 발송됐다.
개인정보위는 서울CC와 한양CC의 개인정보를 모두 처리하는 한양CC가 보호법에서 규정한 안전조치를 소홀히 했다고 판단했다.
양사가 체결한 위·수탁 계약서에는 개인정보 처리업무 위탁 범위와 안전조치 등 세부 내용도 포함되지 않았다. 이외에도 서울CC의 개인정보 처리방침은 개인정보 처리 수탁자로 다른 정보기술(IT)업체를 명시하는 등 부정확한 정보를 담고 있었다.
개인정보위는 이러한 정황을 고려해 서울CC가 개인정보 처리업무 위탁에 필요한 사항을 준수하지 않았다고 판단했다.
양사 모두 골프장 회원권 양도·양수에 따른 명의개서 명세서를 세무서에 제출하기 위해 수집한 회원 주민등록번호 등을 목적 달성 이후에도 파기하지 않고 보관해 보호법을 위반한 사실도 확인됐다.
개인정보위 관계자는 “개인정보 처리업무를 위탁할 때에는 위탁 업무 내용과 목적, 보호조치 등을 명확히 해야 한다”며 “위탁자는 수탁자의 개인정보 처리 현황을 점검하는 동시에 필요 교육을 실시하는 등 관리·감독을 충실히 해야 한다”고 당부했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지