개보위, 우리카드에 과징금 135억 부과 … 가맹점주 개인정보 무단 활용

우리카드가 최소 20만명에 달하는 가맹점주의 개인정보를 무단으로 조회해 카드 마케팅에 활용한 사실이 드러나면서, 개인정보보호위원회로부터 134억5100만원의 과징금을 부과받았다.

개인정보보호위원회는 지난 26일 전체회의를 열어 개인정보 보호법'을 위반한 우리카드에 134억5100만원의 과징금 부과와 시정명령·공표명령을 의결했다고 27일 밝혔다.

개보위는 지난해 4월 우리카드의 신고와 함께 회사 가맹점 대표자(가맹점주)의 개인정보가 카드 신규 모집에 이용된다는 언론 보도 등에 따라 조사에 착수했다. 조사 결과 우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다.

개보위에 따르면 우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 2022년 7월부터 지난해 4월까지 카드가맹점의 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만여명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회해 자사 상품을 보유하고 있는지 확인했다. 이후 자사 상품 보유 여부를 확인한 내용은 문서로 작성·촬영돼 카드 모집인이 참여한 카카오톡 단체 채팅방에 공유되기도 했다.

또한 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했다. 지난해 1~4월에는 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 이메일로 모집인에게 전달했다.

이는 우리카드의 신용카드 발급을 위한 마케팅에 활용됐다. 개보위는 이 중 7만여 명은 사전 마케팅 활용에 동의하지 않은 상태였다고 설명했다.

이는 개인정보 목적 외 이용‧제공 제한 규정(보호법 제18조제1항)을 위반한 것이다. 보호법은 수집‧이용 범위를 초과해 개인정보를 이용해서는 안 된다고 규정하고 있다. 우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 것과 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한 규정(보호법 제24조의2제1항)도 위반에도 해당된다.

아울러 우리카드는 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임했으나 접근권한 부여 현황 파악, 접속기록 점검 등 내부통제는 제대로 이뤄지지 않은 것으로 밝혀졌다.

이에 따라 개보위는 우리카드가 가맹점주 개인정보를 목적 외로 이용한 행위 등에 대해 과징금 134억5100만원을 부과하는 한편 개인정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 했다.

개보위 관계자는 "당초 개인정보 수집·이용 목적을 벗어난 개인정보 처리는 위법"이라며 "직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖추어야 한다"고 말했다.