Kant's IT/Issue on IT&Security
ISMS-P 인증, 과징금 감경에 결정적 역할…우리카드 사례 분석
Kant Jo
2025. 5. 26. 17:00
"ISMS-P 돈값했네"…과징금 130억 이상 아낀 카드사 : 네이트 뉴스
"ISMS-P 돈값했네"…과징금 130억 이상 아낀 카드사 : 네이트 뉴스
한눈에 보는 오늘 : IT/과학 - 뉴스 : 보안인증·사후대처 인정받아 50% 감경 고학수 개인정보보호위원장이 9일 서울 종로구 정부서울청사에서 개인정보보호위원회 2025년 8회 전체회의를 주재하고
news.nate.com
- 사건 개요
- 우리카드는 인천영업센터에서 가맹점주 20만여명의 개인정보를 무단으로 조회하고, 이를 신용카드 모집에 활용한 사건으로 개인정보보호위원회 조사를 받음
- 유출 정보는 성명, 주민등록번호, 연락처, 주소 등 민감 정보 포함
- 피해자 7만여명은 마케팅 활용에 대한 사전 동의가 없었던 것으로 확인됨
- 과징금 산정 구조 및 기준
- 개인정보 보호법상 과징금 상한은 전체 매출액의 3%로 규정됨
- 매출 중 위반행위와 무관한 매출은 제외되고, 고의성, 개인정보 민감도, 유출 범위 등을 고려해 기준금액 산출
- 우리카드의 주력 매출인 개인 신용카드 영역이 반영되며 기준금액은 수백억 원으로 설정됨
- 감경 요소 적용 내용
- 1차 조정 감경사유는 대기업에 해당하지 않아 적용 불가
- 2차 조정 감경사유 중 다음이 인정됨
- ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 보유: 최대 감경폭인 50% 적용
- 피해확산 방지 조치: 고객 응대, 임직원 징계, DB 접근권한 회수 등 일부 반영
- 최종 과징금은 134억5100만원으로 감경되어 확정됨
- 정보보호 대응 및 보완 조치
- 사건 이후 우리카드는 다음과 같은 보완 조치 시행
- DB 접근권한 대거 회수
- 임직원 대상 인사 조치
- 고객 민원 발생 시 상품권 지급 등 보상 노력
- 하지만 일부 영업센터에서도 유사한 대량 조회가 있었으며, 조회 사유에 대해 명확히 답변하지 못함
- 사건 이후 우리카드는 다음과 같은 보완 조치 시행
- ISMS-P 인증의 감경 영향
- 2차 조정 감경 사유 중 ‘개인정보 보호 인증’은 단일 항목으로 최대 50% 감경 가능
- 다른 감경 사유와 합산하더라도 총 감경폭은 50%를 넘을 수 없음
- 결국 ISMS-P 보유 여부가 감경폭 결정에 가장 큰 영향을 미친 사례로 평가됨
- 개인정보위의 지적 사항
- 위원들은 해당 사건을 개인 일탈이 아닌 조직적 문제로 지적
- 통합된 데이터 조작과 조합 가능성에 대한 내부 통제 미흡이 본질적 원인이라는 평가
- 일부 영업센터에서 발생한 유사 행위에 대한 추가 조사 필요성 제기
- 결론
- ISMS-P 인증은 형식적 취득이 아닌 운영 실효성 확보가 중요하며, 사후 대응까지 포함해 관리 체계의 존재가 감경 판단에 중요한 역할을 함
- 조직 내 접근권한 통제, 내부 모니터링, 이상행위 탐지체계 구축 등 실질적인 내부통제가 부재한 경우 인증만으로 면책은 불가능함
- 향후 타 기업들도 유사 사건에서 감경을 기대한다면 사전 예방과 사후 대응을 모두 아우르는 체계 구축이 필수임