7만5000건 개인정보 유출한 우리카드에 과징금 134억 부과

개인정보위, 내부통제·안전조치 강화 등 시정명령

고학수 개인정보보호위원장이 26일 오후 정부서울청사에서 개최된 2025년 제7회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. [사진=개인정보보호위원회]

가맹점 대표자 개인정보 7만5000건을 동의 없이 유출한 우리카드에 과징금 134억원이 부과됐다. 

27일 개인정보보호위원회에 따르면 전날 열린 제7회 전체회의에서 개인정보 보호법을 위반한 우리카드에 과징금 134억5100만원 부과와 함께 시정명령·공표명령을 의결했다. 

개인정보위 조사 결과 우리카드는 가맹점주 개인정보를 동의 없이 신규 카드 발급 마케팅에 활용한 행위와 영업센터 직원이 이를 카드 모집인에게 전달한 사실을 확인했다. 특히 2024년 1월 8일부터 4월 2일까지 하루 2회 이상 총 100회에 걸쳐 가맹점주 7만5676명 개인정보를 카드 모집인에게 이메일로 전달한 것으로 나타났다.

우리카드 인천영업센터는 신규 카드 발급 마케팅을 통한 영업실적을 높이기 위해 2022년 7월부터 2024년 4월까지 카드가맹점 사업자등록번호를 가맹점 관리 프로그램에 입력해 가맹점주 최소 13만1862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회했다.

또 카드발급심사 프로그램에서 가맹점주 주민등록번호를 입력해 해당 가맹점주가 우리카드에서 발급한 신용카드를 보유하고 있는지 확인한 후 출력된 가맹점 문서에 이를 기재·촬영하여 카드 모집인 등이 참여하고 있는 카카오톡 단체채팅방에 공유하기도 했다. 

최소 20만7538명의 가맹점주 정보를 조회해 이를 카드 모집인에게 전달했고, 해당 정보는 우리신용카드 발급을 위한 마케팅에 활용됐다. 더욱이 해당 내역의 가맹점주 중 7만4692명은 마케팅 활용에 동의한 사실이 없었다. 

우리카드가 가맹점 관리 등 목적으로 수집한 개인정보를 우리신용카드 발급 등 마케팅에 활용한 것은 개인정보 목적 외 이용‧제공 제한 규정(보호법 제18조제1항)을 위반한 것이다. 

이에 따라 개인정보위는 우리카드에 과징금 134억5100만원을 부과하는 한편 △개인정보 오남용을 방지하기 위한 내부통제 강화 △접근권한 최소화 및 점검 등 안전조치의무 준수 △개인정보취급자에 대한 관리·감독 강화 등을 시정명령하고, 처분받은 사실을 홈페이지 등에 공표하도록 했다. 

개인정보위 측은 "당초 개인정보의 수집·이용 목적을 벗어난 개인정보의 처리는 위법"이라면서 "직원 등 개인정보취급자의 개인정보 접근권한을 주기적으로 점검하고, 불필요한 개인정보 조회나 이용이 없는지 접속기록도 확인하는 등 내부통제 시스템을 잘 갖추어야 한다"고 당부했다. 이어 "지난해 12월 손해보험사에 대한 조사‧처분에 이어 카드사에 대한 이번 처분을 통해 금융회사 또한 보호법이 적용될 수 있기 때문에 보호법 준수 여부를 다시 한번 점검할 필요가 있다"고 강조했다.