우리카드, 동의 없는 개인정보 마케팅에 135억 과징금
개인정보보호위원회가 우리카드 의 가맹점주 개인정보 무단 활용에 대해 134억5100만 원의 과징금을 부과했다.
이는 국내 기업에 대한 개인정보 보호법 위반 처분 중 카카오(151억 원)에 이어 역대 두 번째 규모다.
개인정보위는 27일, 전날 제7회 전체회의에서 우리카드에 대해 개인정보보호법 위반 사실을 확인하고 과징금과 함께 내부통제 강화, 접근권한 최소화, 개인정보취급자 관리·감독 강화 등의 시정명령을 내렸다고 밝혔다.
이번 조치는 지난해 4월 우리카드가 자체 신고한 사안과 언론보도에 기반해 착수한 조사 결과에 따른 것이다.
조사 결과, 우리카드는 카드 가맹점 관리 시스템을 통해 가맹점주 20만7538명의 개인정보를 수집·조회한 뒤, 이 중 마케팅 활용에 동의하지 않은 최소 7만4692명의 정보를 카드 모집인에게 전달한 사실이 드러났다.
해당 정보에는 성명, 주민등록번호, 휴대전화번호, 주소 등 민감한 개인정보가 포함돼 있었으며, 마케팅 목적으로 사용된 것으로 확인됐다.
특히 인천영업센터에서는 2022년 7월부터 2023년 4월까지 사업자등록번호를 활용해 가맹점주 정보를 조회하고, 카드 보유 여부를 확인한 뒤 이를 문서화해 단체 카카오톡 채팅방에 공유하는 방식으로 운영됐다.
또한 우리카드는 지난해 초부터 정보조회 명령어를 활용해 가맹점주 정보를 정리한 파일을 하루 2회 이상, 총 100회에 걸쳐 이메일로 카드 모집인에게 발송한 사실도 확인됐다.
개인정보위는 “개인정보 보호법은 수집·이용 범위를 초과해 개인정보를 이용해서는 안 된다고 규정하고 있다”며 “우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발금 등 마케팅에 활용한 것은 개인정보 목적 외 이용·제공 제한 규정(보호법 제18조제1항)을 위반한 것”이라고 지적했다.
아울러 조사 과정에서는 내부통제 시스템 부재도 드러났다. 영업센터 직원에게 부적절하게 부여된 DB 접근권한, 대규모 개인정보 조회 및 다운로드를 방치한 점, 접속기록 관리 미흡 등도 주요 문제로 지적됐다.
실제로 월 3000만 건에 달하는 개인정보 조회가 발생했음에도 우리카드는 이를 점검하거나 조치하지 않은 것으로 나타났다.
개인정보위는 “개인정보위는 당초 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법”이라며 “지난해 12월 손해보험사에 대한 조사·처분에 이어 카드사에 대한 이번 처분을 통해 금융회사 또한 보호법이 적용될 수 있으므로, 보호법 준수여부를 다시 한번 점검할 필요가 있다”고 밝혔다.
배동현 (grace8366@sabanamedia.com) 기사제보
관련 기사
