개인정보보호위원회 [개인정보보호위원회 제공]

[헤럴드경제=권제인 기자] 우리카드가 가맹점주의 개인정보를 신규 카드 마케팅에 무단 사용해 134억원의 과징금 철퇴를 맞았다. 우리카드는 영업실적 증대를 위해 가맹점주의 개인정보를 조회하고 카카오톡 단체채팅방, 이메일 등을 통해 전달한 것으로 조사됐다.

개인정보보호위원회는 26일 제7회 전체회의를 열고 개인정보 보호법을 위반한 우리카드에 134억5100만원의 과징금을 부과하고 시정명령 및 공표명령을 의결했다. 개인정보위는 조사 결과 우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용하고, 영업센터 직원이 이를 카드 모집인에게 전달한 것으로 확인했다.

우리카드는 가맹점주 중 최소 20만7538명의 정보를 조회해 카드 모집인에게 전달한 것으로 조사됐다. 이중 7만4692명은 마케팅 활용에 동의하지 않아, 개인정보가 무단 사용됐다.

우리카드 인천영업센터는 2022년 7월부터 지난해 4월까지 카드가맹점의 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다. 이렇게 확보한 주민등록번호는 카드발급 심사 프로그램에 입력해 해당 가맹점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인했다.

우리카드는 출력된 가맹점 문서에 우리신용카드 보유 여부를 기재한 뒤 촬영해 카드모집인이 참여한 카카오톡 단체 채팅방에 공유했다.

고학수 개인정보보호위원회 위원장이 26일 서울 종로구 정부서울청사에서 열린 2025년 제7회 전체회의에서 의사봉을 두드리고 있다. [연합]

특히, 2023년 9월부터는 가맹점주 및 카드회원의 개인정보를 처리하는 데이터베이스(DB)에 정보조회 명령어를 통해 개인정보 및 우리신용카드 보유 여부를 조회한 후 개인정보 파일로 생성했다. 지난해 1월 8일부터 4월 2일까지 1일 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명의 개인정보가 카드 모집인에게 이메일로 전달됐다.

개인정보위는 우리카드가 가맹점 관리 등을 목적으로 수집한 개인정보를 마케팅에 활용해 개인정보를 수집·이용할 수 있는 범위를 초과했다고 판단했다. 또한, 이 과정에서 법률에 근거하지 않고 주민등록번호를 처리해 법령을 위반했다고 봤다.

더불어 우리카드는 영업센터에서 월 3000만건 이상의 대량 개인정보 조회 및 다운로드가 발생했음에도 이를 점검하거나 조치하지 않았다. 우리카드는 DB 접근권한, 파일 다운로드 권한 및 주민등록번호가 포함된 개인정보의 열람권한 등을 사실상 개별부서에 해당하는 영업센터에 위임하면서 내부 통제는 소홀했던 것으로 확인됐다.

이에 따라 개인정보위는 ▷개인정보 오·남용 방지를 위한 내부통제 강화 ▷접근 권한 최소화 및 점검 등 안전조치 의무 준수 ▷개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지에 공표하도록 했다.