 |
개인정보보호위원회가 우리카드에 신규 카드발급 마케팅에 가맹점주의 동의 없이 개인정보를 이용했다며 과징금 135억 원의 과징금 철퇴를 내렸다.
개인정보위는 26일 제7회 전체회의를 열고 ‘개인정보 보호법’을 위한한 우리카드에 134억 5100만 원의 과징금을 의결했다고 27일 밝혔다. 더불어 개인정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치 의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 했다.
실제로 우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 지난 2022년 7월부터 지난해 4월까지 카드가맹점의 사업자등록번호를 가맹점관리 프로그램에 입력해 가맹점주 최소 13만 1862명의 성명·주민등록번호·휴대전화번호·주소 등 개인정보를 조회한 것으로 나타났다. 이후 카드발급심사 프로그램에서 가맹점주의 주민등록번호를 입력해 해당 가맹점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인한 후, 출력된 가맹점 문서에 이를 기재·촬영해 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유한 사실도 확인됐다.
특히 개인정보위 조사 결과 우리카드 인천영업센터는 지난 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 이를 개인정보 파일로 생성했다. 그리고 이를 지난해 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만 5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.
개인정보위는 우리카드가 최소 20만 7538명의 가맹점주의 정보를 조회해 이를 카드 모집인에게 전달했고 해당 정보는 우리신용카드 발급을 위한 마케팅에 활용됐는데 해당 내역의 가맹점주 중 7만 4692명은 마케팅 활용에 동의한 사실이 없었다는 사실도 확인했다.
 |
이번 개인정보위의 우리카드 과징금 규모는 지난번 역대 최대였던 카카오(151억 원)에 이어 국내 업체 중 두 번째로 많은 수준이다. 업계에서는 해킹 등 제3자의 개입으로 개인정보가 유출된 다른 사례와는 달리 우리카드가 영업실적 증대라는 사익을 위해 개인정보를 이용한 점을 수위 높은 처벌의 원인으로 꼽는다.
개인정보위는 “개인정보 보호법은 수집·이용 범위를 초과해 개인정보를 이용해서는 안 된다고 규정하고 있다”며 “우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발금 등 마케팅에 활용한 것은 개인정보 목적 외 이용·제공 제한 규정(보호법 제18조제1항)을 위반한 것”이라고 지적했다. 이어 “이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)도 위반한 것”이라고 밝혔다.
아울러 개인정보위는 조사 과정에서 우리카드가 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임해 운영하고 있으면서 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제를 소홀히 사실도 확인했다. 구체적으로 우리카드는 영업센터 직원 업무와 무관하게 DB 접근권한을 부여해 가맹점주 정보를 조회할 수 있게 했다. 심지어 영업센터에서 월 3000만 건 이상의 대량 개인정보 조회·다운로드가 발생하였음에도 이를 점검·조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보를 조회·이용하는 것을 방치하고 있었다.
개인정보위는 “개인정보위는 당초 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법”이라며 “지난해 12월 손해보험사에 대한 조사·처분에 이어 카드사에 대한 이번 처분을 통해 금융회사 또한 보호법이 적용될 수 있으므로, 보호법 준수여부를 다시 한번 점검할 필요가 있다”고 당부했다.
양지혜 기자 hoje@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]
