'개인정보로 실적' 우리카드, 과징금 135억원 '철퇴'

21만 가맹점주 개인정보 카드모집인에 전달…월 3000만건 개인정보 조회 방치하기도

김정후 기자 | kjh@newsprime.co.kr | 2025.03.27 13:10:44

27일 개인정보보호위원회는 전날 열린 제7회 전체회의를 통해 개인정보 보호법을 위반한 우리카드에 134억5100만원의 과징금을 부과했다. ⓒ 우리카드

[프라임경제] 신규 카드 회원을 모집하는 등 가맹점주 개인정보를 이용해 영업실적을 쌓은 우리카드에 약 135억원 과징금 부과 처분이 내려졌다. 조사 과정에서 월 3000만건 이상의 개인정보 조회·다운로드가 방치되는 환경도 확인됐다.

27일 개인정보보호위원회는 전날 열린 제7회 전체회의를 통해 개인정보 보호법을 위반한 우리카드에 134억5100만원의 과징금을 부과했다.

이와 함께 개인정보 오·남용을 방지하기 위한 내부통제 강화, 접근권한 최소화 및 점검 등 안전조치의무 준수, 개인정보취급자에 대한 관리·감독 강화 등을 시정명령했다. 처분받은 사실은 홈페이지 등에 공표하도록 했다.

앞서 개인정보위는 지난해 4월 우리카드의 신고와 함께 '우리카드 가맹점주의 개인정보가 카드 신규 모집에 이용된다'는 언론보도 등에 따라 조사에 착수했다.

조사 결과, 우리카드 인천영업센터는 지난 2022년 7월부터 지난해 4월까지 카드가맹점의 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만1862명의 개인정보를 조회했다.

이후 카드발급심사 프로그램에서 가맹점주의 주민등록번호를 입력해 우리신용카드 보유 여부를 확인했다. 그 다음 이를 출력된 가맹점 문서에 기재 및 촬영해 카드 모집인 등이 참여한 카카오톡 단체채팅방에 공유했다.

특히 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스에서 정보조회 명령어를 통해 가맹점주의 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했다.

또 지난해 1월8일부터 4월2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보를 카드 모집인에게 이메일로 전달했다.

이처럼 최소 20만7538명 가맹점주의 정보를 조회해 이를 카드 모집인에게 전달했고, 해당 정보는 우리신용카드 발급을 위한 마케팅에 활용됐다.

문제는 해당 내역의 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다는 점이다. 개인정보 보호법은 수집·이용 범위를 초과해 개인정보를 이용하거나 법률에 근거하지 않고 주민등록번호를 처리해서는 안된다고 규정한다.

이에 더해 우리카드가 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열람 권한 등을 사실상 개별 부서에 해당하는 영업센터에 위임해 운영하고 있으면서 내부통제를 소홀히 한 것도 드러났다.

구체적으로 우리카드는 영업센터 직원 업무와 무관하게 DB 접근권한을 부여해 가맹점주 정보를 조회할 수 있게 했다. 심지어 영업센터에서 월 3000만건 이상의 대량 개인정보 조회·다운로드가 발생했음에도 이를 점검·조치하지 않는 등 사실상 가맹점주나 신용카드 회원 정보 조회·이용을 방치하고 있었다.

개인정보위 관계자는 "개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법"이라며 "직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖춰야 한다"고 강조했다.