⁠⁠⁠⁠⁠⁠⁠

김해숙 개인정보보호위원회 조사1과장이 27일 오전 서울 종로구 정부서울청사에서 우리카드 처분 건에 대해 브리핑하고 있다.(개인정보보호위원회 제공)

우리카드가 카드가맹점주 개인정보를 영업에 이용하는 등 개인정보보호법을 위반해 130억원대의 과징금을 받았다.

개인정보보호위원회는 지난 26일 제7회 전체회의를 열고, 개인정보보호법을 위반한 우리카드에 134억5100만원의 과징금 부과와 더불어 시정명령·공표명령을 의결했다.

조사 결과, 우리카드 인천영업센터는 최소 20만7538명의 가맹점주의 정보를 조회해 이를 카드 모집인에게 전달해 우리신용카드 발급을 위한 마케팅에 활용했다. 해당 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다.

구체적으로 우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 2022년 7월부터 2024년 4월까지 카드가맹점주 최소 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다. 이후 우리신용카드 보유 여부를 확인한 뒤 출력된 가맹점 문서에 이를 기재하고 촬영해 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유했다.

특히, 2023년 9월부턴 데이터베이스(DB)에서 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일을 생성했다. 2024년 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

개인정보보호법은 수집·이용 범위를 초과해 개인정보를 이용해선 안 된다고 규정하고 있다. 우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 것은 규정 위반이다. 또 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정도 위반한 것이다.

아울러 우리카드가 개인정보 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임해 운영하고 있으면서, 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 한 것으로도 조사됐다. 더욱이 영업센터에서 월 3000만건 이상의 대량 개인정보를 조회·다운로드했음에도 이를 점검·조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보를 조회·이용하는 것을 방치하고 있었다.

김해숙 개인정보위 조사1과장은 “직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖춰야 한다”며 “이번 처분을 통해 금융회사도 개인정보보호법상 규정을 적용할 수 있다는 점을 한 번 더 상기할 수 있는 계기가 되길 바란다”고 말했다.

한편, 개인정보위는 이번 전체회의에서 '개인정보 손해배상책임 보장제도 합리화 방안'을 보고했다. 개인정보 손해배상책임 보장제도는 개인정보 유출 피해 발생 시 기업의 배상능력이 부족한 경우에도 피해구제가 가능하도록 보험·공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 의무화하는 제도다. 이번 방안에선 의무대상을 상향 조정(매출액 10억원 이상·정보주체 수 1만명 이상→1500억원·100만명)했고, 손해보험 업계와 협의해 보험료 인하, 보험 보장범위 확대 등 보험상품을 지속 개선하는 내용이 담겼다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.