(조세금융신문=진민경 기자) 우리카드가 가맹점주 20만명의 개인정보를 동의 없이 신규 카드 발급에 이용해 과징금 134억5100만원을 물게 됐다.

27일 개인정보위원회는 개인정보보호법을 위반한 우리카드에 과징금 134억5100만원을 부과하고 시정명령을 내리기로 전날 전체회의에서 의결했다고 밝혔다.

개인정보위에 따르면 2022년 7월부터 2024년 4월까지 우리카드 인천영업센터는 카드 가맹점 관리 프로그램에 가맹점 사업자등록번호를 입력해 가맹점주 최소 13만1862명의 이름, 주민등록번호, 주소, 휴대전화 번호 등 개인정보를 조회했다.

이후 카드발급심사 프로그램에서 가맹점주의 주민번호를 입력해 해당 가맹점주가 우리카드에서 발급한 신용카드(우리신용카드)를 보유하고 있는지 확인하고, 가맹점 문서에 이를 기재한 뒤 촬영해 카드 모집인 등이 참여한 SNS 단체 채팅방에 공유했다.

또한 2023년 9월부터 데이터베이스(DB)에서 직접 정보조회 명령어를 사용해 가맹점주의 개인정보와 카드 보유 여부를 확인하고 이를 파일로 만들어 관리했다. 이후 2024년 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

이같은 수법을 통해 우리카드는 최소 20만7538명의 가맹점주의 정보를 조회해 카드 모집인에게 전달했고, 해당 정보는 우리카드 발급을 위한 마케팅에 활용됐다. 해당 내역의 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다.

개인정보위 ‘금융회사 또한 개인정보보호법 적용대상’ 관련법에 따르면 수집‧이용 범위를 초과해 개인정보를 이용해선 안 된다고 규정하고 있다.

개인정보위는 “개인정보보호법은 수집 및 이용 범위를 초과해 개인정보를 이용해선 안된다고 규정하고 있는데, 우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리카드 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용 및 제공 제한 규정을 위반한 것”이라며 “이 과정에서 법률에 근거하지 않고 주민등록번호를 처리한 것은 주민등록번호 처리의 제한규정도 위반한 것”이라고 지적했다.

이에 대해 우리카드는 “자체 내부통제 채널을 통해 사실을 인지하고 즉각 자체 감사를 실시했다. 신용정보보호법상 절차에 따라 회사 홈페이지에 관련 사실 안내 및 사과문을 게시하고 관련 직원 및 카드 모집인들을 해촉하는 등 엄중 문책했다”고 설명했다.

이어 “(인천)영업센터 소속 직원 내부단말 시스템 접근 권한을 정리하고 DB 접근권한을 일괄 회수 조치했다”면서 “모든 외부 메일 반출시 정보보호부 승인을 거치도록 했다”고 부연했다.

그러면서 “DB 접근 통제 강화와 DB 권한 분리 개선, 외부메일 발송 통제 강화 등 내부통제 프로세스를 개선 조치했다”며 “외부 메일 개인정보 검출 시스템 구축 등 정보보호 관리 시스템 구축을 하는 중”이라고 전했다.

한편 금융당국은 해당 사고와 관련해 2024년 4월 29일부터 5월 14일까지 서울 종로구 우리카드 본사 현장검사를 실시했다. 현재 금감원 제재심의위원회 심의 절차 전이다.

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]