개인정보보호위원회(개인정보위)가 3월 26일 제7회 전체회의를 열고, ‘개인정보 보호법’(이하 ‘보호법’)을 위반한 우리카드에 134억 5100만 원의 과징금 부과와 함께 시정명령·공표명령을 의결했다.

개인정보위, 우리카드 개인정보 보호법 위반 확인

개인정보위는 지난해 4월, 우리카드가 카드 신규 모집에 가맹점주의 개인정보를 동의 없이 이용했다는 언론보도가 나온 후 개인정보위는 조사를 시작했다. 그 결과, 우리카드는 가맹점주의 개인정보를 마케팅 목적으로 활용하고, 영업센터 직원들이 이를 카드 모집인에게 전달한 사실을 확인했다.

사실관계 확인

개인정보위에 따르면 우리카드 인천영업센터는 2022년 7월부터 2024년 4월까지, 가맹점주 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등을 포함한 개인정보를 조회하여, 이를 카드 신규 발급을 위한 마케팅에 사용했다. 

특히 2023년 9월부터 2024년 4월까지, 7만5676명의 가맹점주 개인정보를 카드 모집인에게 이메일로 전달하는 등 최소 20만7538명의 개인정보가 마케팅 목적으로 유출되었다. 이 중 약 7만4692명은 개인정보 활용에 동의한 사실이 없었다.

우리카드 위반행위

개인정보 보호법은 개인정보의 수집 및 이용 범위를 초과하여 사용하는 것을 금지하고 있다. 우리카드는 가맹점 관리와 관련된 개인정보를 카드 발급 마케팅에 활용함으로써, 개인정보 목적 외 이용·제공 제한 규정을 위반했다. 또한, 주민등록번호를 법적 근거 없이 처리한 점도 문제로 지적되었다.

뿐만 아니라, 우리카드는 영업센터에 DB 접근권한을 부여하고 이를 제대로 점검하지 않은 채, 직원들이 불필요한 개인정보를 조회하고 다운로드할 수 있게 방치했다.

과징금 및 시정명령 결정

개인정보위는 우리카드에 대해 134억 5100만 원의 과징금을 부과하고, 내부통제 강화, 접근권한 최소화, 안전조치 의무 준수, 개인정보취급자 교육 및 관리 강화를 포함한 시정명령을 내렸다. 또한, 이번 처분 사실을 홈페이지에 공표하도록 명령했다.

개인정보 보호 법규의 중요성 강조

개인정보위는 이번 사건을 통해, 개인정보 처리 과정에서의 법적 규정을 철저히 지켜야 하며, 기업은 직원들의 개인정보 접근권한을 주기적으로 점검하고 불필요한 개인정보 조회나 이용을 차단할 수 있는 내부통제 시스템을 강화해야 한다고 강조했다. 또한, 금융회사들 역시 보호법의 적용을 받으므로, 준수 여부를 재점검할 필요가 있다고 덧붙였다.

[경제엔미디어=박철홍 기자]