'134억 과징금' 우리카드, "모집인 해촉·센터직원 권한회수"

개보위 "형사 고발까지는 검토 않아"

금융 감독당국, 작년 현장검사

금융당국 "현재는 감독당국 제재심의 전"

우리카드 "임직원 교육·시스템 상시점검"

우리카드는 가맹점주 개인정보 사고 관련 직원과 카드 모집인을 해촉하고 영업센터 소속 지원 시스템 접근 권한을 차단했다고 27일 밝혔다. 가맹점주 7만4000여명 개인정보를 동의 없이 마케팅에 활용했다가 적발돼 과징금 134억여원을 물게 되자 후속 조치를 단행한 것이다.

서울 종로구 우리카드 본사 전경. 우리카드 제공

개인정보보호위원회는 우리카드에 개인정보보호법 위반을 이유로 134억5100만원의 과징금과 시정명령을 내리는 안건을 전날 전체회의에서 의결했다고 밝혔다.

개보위와 우리카드에 따르면 우리카드 인천영업센터는 2022년 7월부터 지난해 4월까지 카드가맹점주 13만1862명의 이름, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다.

2023년 9월부터는 가맹점주 개인정보 및 우리카드의 신용카드 보유 여부를 조회한 뒤 개인정보파일로 생성했다. 가맹점주 및 카드회원 개인정보를 처리하는 데이터베이스(DB)를 활용했다.

지난해 1~4월에는 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 모집인에게 이메일로 전달했다. 인천센터는 이런 방식으로 최소 20만7538명의 가맹점주 정보를 조회에 모집인에게 넘겼는데, 이 가맹점주 중 7만4692명은 마케팅 활용에 동의한 적이 없다. 동의 없이 개인정보를 넘긴 것은 '이용 범위를 초과해 개인정보를 사용해선 안 된다'는 법 조항을 위반한 행위다.

우리카드는 "자체 내부통제 채널을 통해 사실을 인지하고 즉각 자체 감사를 실시했다"며 "신용정보보호법상 절차에 따라 회사 홈페이지에 관련 사실 안내 및 사과문을 게시하고 관련 직원 및 카드모집인들을 해촉하는 등 엄중 문책했다"고 말했다.

이어 "(인천)영업센터 소속 직원 내부단말 시스템 접근 권한을 정리하고, DB 접근권한을 일괄 회수 조치했다"며 "모든 외부 메일 반출시 정보보호부 승인을 거치도록 했다"고 덧붙였다.

더불어 우리카드는 "DB 접근 통제 강화, DB 권한 분리 개선, 외부메일 발송 통제 강화 등 내부통제 프로세스를 개선 조치했다"며 "외부 메일 개인정보 검출 시스템 구축 등 정보보호 관리 시스템 구축을 하는 중"이라고 강조했다.

개보위는 인천센터만의 책임이 아닌 우리카드 전체의 문제로 판단했다고 밝혔다. 김해숙 개보위 조사1과장은 "내부통제가 소홀했고 본사 차원의 확인이나 점검이 없었다"며 "우리카드는 일부 영업 센터에서만 일어난 사건인 부분을 참작해 달라고 했지만 수용하지 않았다"고 말했다.

개보위에 따르면 개인정보 동의 없이 무단으로 모집인에 넘긴 사례로 카드사에 과징금 처분을 한 것은 처음이다. 다만 형사고발까지는 검토하지 않고 있다.

김 과장은 "피심의인(우리카드)은 개보위 정식 시정명령 통보일로부터 90일 이내에 대응 방안 등을 제출해야 한다"며 "이때 제출한 방안을 보고 개보위에 출석시켜 의견을 개진하라고 피심의인에게 요청할지 과태료 부과 및 형사고발 등을 할지 검토할 것"이라고 말했다.

우리카드는 "개보위 지적 사항에 대해 깊이 반성하고 있고 문제점을 해결하기 위한 방안들에 대해 최우선적 조치를 취하고 있다"며 "유사 사례 재발 방지를 위해 임직원 교육 및 정보보호 시스템 상시 점검 등 내부통제를 더욱 강화하겠다"고 했다.

한편 금융 감독당국은 해당 사고와 관련해 지난해 4월29일부터 5월14일까지 서울 종로구 우리카드 본사 현장검사를 했다. 현재는 금감원 제재심의위원회 심의 절차 전이다.

문채석 기자 chaeso@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>