우리카드가 지난해 개인정보 대규모 유출 사태와 관련해 개인정보보호위원회에게 134억5100만원 과징금 처분을 받았다.
개인정보위는 26일 제7회 전체회의를 열고 가맹점주의 개인정보를 목적 외로 이용한 행위 등 개인정보 보호법을 위반한 우리카드에 대해 134억5100만원의 과징금 부과와 시정명령‧공표명령을 의결했다고 27일 밝혔다.
개인정보위가 조사를 착수한 결과 우리카드는 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용했고, 영업센터 직원이 해당 정보를 카드모집인에게 전달한 사실을 확인했다.
우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를 위해 2022년 7월부터 2024년 4월까지 카드가맹점의 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다.
이후 가맹점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인하고 출력된 가맹점 문서에 이를 기재 및 촬영해 카드 모집인 등이 참여한 단체 채팅방에 공유했다.
특히 2023년 9월부터 데이터베이스(DB)에서 정보조회 명령어를 통해 가맹점주의 개인정보 파일을 생성했다. 이후 2024년 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.
최종적으로 최소 20만7538명의 가맹점주의 정보를 조회해 카드 모집에게 전달한 후 활용했으나 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없다.
우리카드는 개인정보 보호법 위반과 함께 내부통제를 소홀히 했고, 영업센터 직원 업무와 무관한 DB 접근 권한을 부여했다. 심지어 영업센터에서 월 3000만건의 이상의 대량 개인정보 조회‧다운로드가 발생했음에도 점검‧조치하지 않았다. 사실상 가맹점주나 신용카드 회원 정보를 조회‧이용하도록 방치한 셈이다.
우리카드 측은 외부에 공개적으로 개인정보를 노출한 것이 아니며 외부 영업센터에서 발생한 유출 등의 사유로 참작해달라고 요청했으나 적용되지 않았다.
김해숙 개인정보위 조사1과장은 이날 브리핑을 통해 “우리카드가 내부통제 소홀과 관리‧감독 부족 등 고의가 있다고 판단해 과징금을 부과한 것”이라며 “위원회는 일부 참작 사유를 요청받았으나 좀 더 중하게 판단할 필요가 있어 원안보다 과징금이 조금 더 상향됐다”고 설명했다.
