“20만 고객정보 무단 이용”…개인정보위, 우리카드에 134억 과징금

[아이티데일리] 우리카드가 가맹점주 개인 정보를 동의 없이 마케팅에 활용하는 등 개인정보보호법을 위반해 134억 원대 과징금을 부과받았다.

개인정보보호위원회(위원장 고학수)는 지난 26일 제7회 전체 회의를 열고 개인정보보호법을 위반한 우리카드에 과징금 134억 5,100만 원과 시정명령, 공표명령을 의결했다고 밝혔다.

개인정보위는 지난해 4월 우리카드의 신고와 함께 “우리카드 가맹점 대표자의 개인정보가 카드 신규 모집에 이용된다”는 언론보도에 따라 조사에 착수했다. 그 결과 우리카드가 가맹점주 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다.

우리카드 인천영업센터는 신규 카드 발급 마케팅으로 영업 실적을 높이기 위해 2022년 7월부터 2024년 4월까지 가맹점 사업자등록번호를 관리 프로그램에 입력해 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다.

이후 카드발급심사 프로그램에 가맹점주의 주민등록번호를 입력, 우리카드에서 발급한 신용카드 보유 여부를 확인했다. 이후 출력된 가맹점 문서에 이를 기재 및 촬영해 카드 모집인이 참여한 카카오톡 단체 채팅방에 공유했다.

특히 우리카드 인천영업센터는 2023년 9월부터 내부 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했다. 이를 2024년 1월 8일부터 그해 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 75,676명의 정보를 카드 모집인에게 이메일로 전달했다.

이 과정에서 해당 정보는 우리신용카드 발급을 위한 마케팅에 쓰였는데 가맹점주 74,692명은 마케팅 활용에 동의한 사실이 없었다.

개인정보보호법은 수집·이용 범위를 넘어서 개인정보를 이용해서는 안 된다고 규정하고 있다. 우리카드가 가맹점 관리 등 목적으로 수집한 정보를 우리신용카드 발급을 비롯한 마케팅에 활용한 점은 규정 위반이다. 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리해 보호법 제24조의2제1항 주민등록번호 처리의 제한 규정도 위반했다.

아울러 우리카드는 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열림 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임했다. 그럼에도 접근권한 부여 현황 파악, 접속기록 점검 등 내부 통제를 소홀히 한 점 역시 개인정보위 조사 결과 밝혀졌다.

구체적으로 우리카드는 영업센터 직원에 업무와 무관하게 DB 접근권한을 부여해 가맹점주 정보를 조회할 수 있도록 허용했다. 영업센터에서 월 3천만 건 이상의 대량 개인정보 조회·다운로드가 발생하였음에도 이를 점검·조치하지 않았다.

이에 개인정보위는 우리카드가 가맹점주의 개인정보를 목적 외로 이용한 행위 등에 대해 과징금 134억 5,100만 원을 부과했다. 또 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치 의무 준수, 개인정보취급자에 대한 관리·감독 등을 시정명령하고, 처분받은 사실을 홈페이지에 공표하도록 지시했다.

개인정보위는 “당초 수집·이용 목적을 벗어난 개인정보 처리는 위법”이라며 “직원 등 개인정보취급자의 접근권한을 주기적으로 점검하고 불필요한 정보 조회나 이용이 없는지 확인하는 등 내부 통제 시스템을 잘 갖춰야 한다”고 당부했다.