IT/지식재산기업법무

DATA+LAWㅣ잘 모은 데이터는 금맥, 잘못 쓰면 134억 과징금 폭탄! 우리카드 사례로 본 데이터 거버넌스

우리카드 134억 과징금 사례를 통해 개인정보보호법의 ‘목적 외 이용’ 규제와 데이터 거버넌스의 중요성을 알아봅니다. 데이터는 많이 보유하는 것보다 어떻게 활용하느냐가 기업 리스크를 결정합니다.
법무법인 슈가스퀘어's avatar
법무법인 슈가스퀘어
Oct 28, 2025
DATA+LAWㅣ잘 모은 데이터는 금맥, 잘못 쓰면 134억 과징금 폭탄! 우리카드 사례로 본 데이터 거버넌스
Contents
1. 데이터를 많이 모으는 것 = 경쟁력?2. 우리카드 과징금의 본질: 데이터 수집·활용의 목적 이탈3. 데이터 거버넌스가 지속가능전략의 핵심4. 데이터 거버넌스를 자산화하는 법률 파트너, 슈가스퀘어

1. 데이터를 많이 모으는 것 = 경쟁력?

데이터는 오늘날 모든 기업의 성장 기반입니다. 많은 기업이 금융데이터와 고객 데이터를 모아 새로운 사업 모델을 만들고, 시장을 예측하며, 서비스 품질을 높이는 데 활용하죠. 이에 자칫 데이터를 많이 모으는 것이 경쟁력의 기준처럼 여겨지기도 하는데요. 

데이터 활용의 핵심은 규모가 아니라 운영 방식에 있습니다. 데이터를 잘못 사용하면, 금맥이었던 데이터가 리스크가 됩니다. 우리카드가 개인정보보호법 위반으로 134억 원의 과징금을 부과받은 사건처럼요. 데이터는 모으는 것보다 데이터 활용 규범과 데이터 거버넌스 체계 속에서 활용되는 것이 훨씬 더 중요합니다. 

우리카드는 가맹점 결제 서비스 제공을 위해 수집한 개인정보를 정보 주체의 별도 동의 없이 신규 카드 마케팅 등 다른 목적으로 이용했습니다. 우리카드 입장에서는 데이터를 적극적으로 활용한 전략이었겠지만, 명백한 ‘수집 목적 외 이용’이죠. 그렇다면 기업이 가진 데이터가 폭탄이 아닌 안전자산이 되게 하려면 어떻게 해야 할까요? 

2. 우리카드 과징금의 본질: 데이터 수집·활용의 목적 이탈

개인정보보호법 제18조는 개인정보를 수집 시 고지한 목적 범위 내에서만 사용할 것을 원칙으로 하고, 그 목적을 벗어나 이용하거나 제3자에게 제공하려면 정보주체의 추가 동의가 있어야 한다고 규정합니다(제18조 제1항).  우리카드는 가맹점 결제를 위한 개인정보를 수집했지만, 이를 카드 마케팅과 사업 확장에 활용해 ‘목적 외 이용’ 위반으로 판단되었습니다. 우리카드 측은 “개인정보가 가명처리되어 식별이 어렵다”고 주장했지만, 개인정보보호위원회는 사업자등록번호와 대표자명 등을 통해 특정 개인을 알아 볼 수 있는 정보가 포함되어 있었기에 개인정보에 해당한다고 판단했습니다.

우리카드가 이렇게 명백한 기준을 위배하고 데이터 활용의 목적을 이탈하게 된 것은 단순한 부주의, 가벼운 실수가 아닙니다. 금융권 전반에서는 기존 고객 데이터에서 새로운 수익을 창출해야 한다는 사업적 압력이 강하게 작동하는데, 내부적으로는 데이터가 기업의 자산이라는 인식이 있었을 겁니다. 여기에 조직 구조상의 문제도 있었을 것입니다.  부서 간 협업 구조에서는 법적 동의 범위를 재검토할 주체가 명확하지 않았을 수 있죠.  또 “내부 정보는 자유롭게 활용할 수 있다”는 데이터-소유 중심의 관점과 “식별이 어렵다면 개인정보가 아니다”라는 기술적 판단이 복합적으로 작용하면서, 데이터 활용 전략이 아주 자연스럽게 법적 기준과 괴리되는 결과로 이어진 것입니다. 이는 어느 기업에도 해당할 수 있는 리스크입니다.


 

3. 데이터 거버넌스가 지속가능전략의 핵심

데이터를 많이 보유한 기업이 강한 것이 아니라, 데이터 거버넌스가 정교한 기업이 시장을 주도합니다. 

데이터 거버넌스 데이터를 수집하고 저장하는 단계부터 활용과 파기에 이르기까지 전 과정의 법적 정합성과 내부통제를 일관되게 설계하는 체계

데이터를 다루는 기업이라면 다음의 세 가지 요소를 반드시 점검하세요. 

  • 첫째, 데이터 동의는 구체적이어야 합니다.
     “서비스 향상을 위한 활용”과 같은 포괄적 문구는 개인정보보호법상 적법한 동의로 인정되지 않습니다. 데이터 활용 목적을 명확하고 구체적으로 고지해야 합니다.

  • 둘째, 내부통제 시스템이 실제로 작동해야 합니다.
    데이터 접근권한 관리, 로그 기록 점검, 마케팅 전환 절차 등은 형식이 아니라 운영의 문제입니다. 통제가 실질적으로 이루어지지 않으면 데이터 활용은 언제든지  과징금, 행정처분, 평판 추락 리스크가 됩니다.

  • 셋째, 가명정보도 데이터 거버넌스의 대상입니다.
    가명처리된 데이터라고 해서 자유롭게 사용할 수 있는 것이 아닙니다. 개인정보보호법은 가명정보도 데이터 활용 목적과 안전조치 의무를 충족해야 한다고 규정합니다.

데이터 거버넌스는 규제를 피하기 위한 방어 수단이 아니라, 데이터를 경쟁력으로 전환하기 위한 기업의 핵심 인프라입니다.

4. 데이터 거버넌스를 자산화하는 법률 파트너, 슈가스퀘어

데이터는 보유 자체가 경쟁력을 보장하지 않습니다. 수집 목적에 맞게 활용하고, 내부통제 시스템 안에서 운영될 때 비로소 기업의 자산이 됩니다. 슈가스퀘어는 이러한 데이터 거버넌스 체계를 기업의 현실에 맞게 설계하고, 법적 리스크 없이 성장 전략으로 연결되도록 지원합니다.

과학기술정보통신부 데이터분쟁조정위원회, 콘텐츠분쟁조정위원회, 공공데이터제공분쟁조정위원회 등 국가기관에서 데이터 관련 분쟁 해결과 제도 자문을 수행해온 전문가들이, 금융·ICT 기업과 플랫폼 기업을 대상으로한 데이터 컴플라이언스 구축, 개인정보위 조사 대응, 동의 체계 정밀 점검 등의 자문 경험을 토대로 실무밀착형 자문을 지원합니다.

  • 데이터 수집과 데이터 활용의 목적 설계

  • 개인정보보호법 및 데이터 거버넌스 체계 구축 자문

  • 과징금 및 행정조사 대응 전략 수립

  • 금융데이터, 가명정보, 내부통제 시스템에 대한 정밀 점검

데이터를 자산화하고자 하신다면 슈가스퀘어와 함께 하세요. 지속가능한 성장의 기반을 마련해드리겠습니다.

[상담문의]


 

Share article

법무법인 슈가스퀘어 공식 블로그

RSS·Powered by Inblog