“개인정보 유출에 2억 과징금”…서울한양CC, 관리 부실 드러나며 업계 경각심

회원제 골프장 서울한양컨트리클럽에서 발생한 개인정보 대규모 유출이 업계에 경각심을 불러일으키고 있다. 업계 최장 역사를 가진 서울한양CC가 회원정보 관리 부실로 개인정보보호법 위반 과징금과 과태료 등 총 2억2330만원의 처분을 받았다. 개인정보보호위원회가 서울한양CC와 서울CC에 과징금과 시정 명령을 부과한 이번 사안은 숙련된 해커 공격에 대한 IT보안 경계와 위·수탁 구조 내 관리 프로세스의 허점이 동시에 드러난 대표 사례다.

개인정보위에 따르면, 2023년 12월 서울한양CC 홈페이지 관리자 계정정보가 해킹당하면서 8만7923명에 달하는 골프장 회원의 정보가 유출돼 스팸문자가 대규모로 발송됐다. 문자에는 도박 사이트 링크가 포함됐고, 회원 피해자가 서울CC 7만166명, 한양CC 1만7757명에 달했다. 문제의 핵심은 위·수탁 계약 하에 서울CC와 한양CC가 의뢰자와 처리자로 각각 구분돼 있었으나, 관리 실무상 동일 관리계정, 서버, 데이터베이스를 공유해 시스템 간 경계가 무너졌다는 점이다.

특히 두 골프장은 시스템 유지보수 IT업체까지 위탁 관계가 복잡하게 얽혀 있었으나 개인정보 처리방침과 위탁 계약에서 데이터 관리 책임과 보안 조치 범위가 충분히 규정되지 않았던 것으로 조사됐다. 실제로 서울CC는 개인정보 처리방침에 수탁자 정보를 IT업체로 적시하며, 법 지정 수탁자인 한양CC를 누락시켰다. 또한 회원 정보를 위임받은 한양CC는 접근 권한을 처리자별로 분리하지 않고, 홈페이지와 운영 DB도 사업자 구분 없이 동일 체제로 관리한 사실이 드러났다. 이 과정에서 명의개서 명세서, 주민등록번호 등 주요 개인정보도 목적 달성 후 파기하지 않고 장기간 보관돼 추가 법 위반이 적발됐다.

이번 사례는 ‘개인정보 처리 위탁’ 구조 내에서 보안 책임의 경계 모호함과, 데이터 거버넌스 부실이 어떻게 대규모 유출 사고로 이어질 수 있는지를 여실히 보여준다. 미국·유럽 등에서는 사이버 보안 및 데이터 책임 주체를 명확히 규정하고, 수탁자 관리·감독 요건을 엄격히 적용하는 한편, 위탁업체의 데이터 처리 및 접근 권한을 체계적으로 분리하는 것이 일반적이다.

국내 기업들도 최근 AI 기반 회원관리 시스템, 클라우드형 스마트 골프장 플랫폼 등 정보화에 속도를 내고 있으나, ‘위·수탁 복합 구조’ 내부에서 개인정보 안전조치 책임을 명확히 하는 것은 여전히 숙제로 지적된다. 개인정보위는 한양CC에 대해 과징금 1억4800만원과 과태료 1230만원, 정보 흐름 명확화 및 계정권한 분리를 권고했다. 서울CC에는 수탁자 현황 점검과 관리감독 강화, 명시적 정보공개 등 시정명령이 내려졌다.

전문가들은 골프장, 호텔 등 회원제 IT시스템의 경우 ‘위·수탁자 공동 데이터 관리체계’의 취약점이 반복 노출되는 만큼, 디지털 신원관리, 접근통제, 목적달성 후 기록 파기 등 개인정보보호법 실질 준수와 시스템 내 데이터 흐름 가시화가 시급하다고 본다. 산업계는 개인정보 유출 방지책이 실제 업무 전 과정에 안착할 수 있을지 주시하고 있다.