[비즈니스포스트] 개인정보보호위원회는 22일 제22회 전체회의를 열고, 개인정보 보호 법규를 위반한 한양컨트리클럽(CC)에 과징금 1억4800만 원·과태료 1230만 원·공표명령·개선권고를, 서울컨트리클럽(CC)에는 과징금 5310만 원·과태료 990만 원·시정명령·공표명령을 각각 부과하기로 의결했다고 23일 밝혔다.

조사 결과에 따르면 해커는 사전에 획득한 관리자 계정정보로 한양CC 홈페이지에 로그인해 총 8만7923명의 서울CC와 한양CC 회원에게 스팸 문자를 발송했다.
 

사고 당시 서울CC는 한양CC에 회원 정보 처리를 위탁하고 있었는데, 한양CC가 같은 시스템으로 골프장 회원정보를 관리하다보니 서울CC 회원에게도 스팸문자가 발송된 것이다.

한양CC는 위·수탁 계약을 통해 두 회사의 홈페이지와 골프장운영시스템을 운영하면서 업체 구분 없이 같은 웹서버, 데이터베이스, 관리자 계정을 사용해 관리하고 개인정보 보호법상 안전조치를 소홀히 했던 것으로 확인됐다.

또한 한양CC와 서울CC가 체결한 위·수탁 계약서에는 개인정보 처리업무 위탁 범위와 안전조치 등 세부 내용이 포함되지 않았고, 개인정보 처리 수탁자로 한양CC가 아닌 골프장 운영시스템을 유지보수하는 IT업체를 명시하는 등 부정확한 정보를 담고 있었다.

개인정보위는 서울CC와 한양CC 모두 골프장 회원권 양도·양수에 따른 명의개서 명세서를 세무서에 제출하기 위해 수집한 회원 주민등록번호등을 목적 달성 이후에도 파기하지 않고 보관해 보호법을 위반한 사실도 확인했다.

개인정보위 측은 “이번 처분은 개인정보 안전조치 의무에 대한 책임이 명확하게 수탁자에게 있는 경우에 수탁자와 함께 수탁자에 대한 관리·감독을 소홀히 한 위탁자도처분한 사례라는 의미가 있다”며 “개인정보 처리업무를 위탁할 때에는 위탁하는 업무 내용이나 목적, 보호조치 등을 명확히 하여야 한다”고 말했다. 조승리 기자