결혼정보업계 1위 업체인 듀오정보에서 회원 43만 명의 개인정보가 무더기로 유출된 사실이 드러났다. 회원의 아이디와 주민등록번호는 물론 결혼 상대를 찾기 위해 제공했던 키, 몸무게, 학력 등 민감한 정보도 포함됐다.
개인정보보호위원회(개인정보위)는 전체회의를 통해 개인정보보호법을 위반한 듀오에 과징금 11억9700만 원과 과태료 1320만 원을 부과했다고 23일 밝혔다. 지난해 1월 듀오의 개인정보 취급자 업무용 PC가 해커의 공격을 받아 정회원 42만7464명의 개인정보가 외부로 유출된 사건에 따른 조치다.
유출된 정보에는 이름, 생년월일, 암호화된 주민등록번호, 연락처, 주소뿐 아니라 신장, 체중, 혼인 경력, 출신 학교, 종교, 형제 관계, 직장명, 혈액형 등 민감한 개인정보가 포함됐다. 개인정보위가 확인한 정보 종류만 최소 24개에 달한다. 결혼중개업체 특성상 회원 정보가 상세하게 수집되는 만큼 유출 규모와 구체성이 큰 것으로 나타났다.
특히 듀오는 이 같은 민감 정보를 관리하면서 기본적인 보안 조치도 제대로 하지 않은 것으로 조사됐다. 개인정보위에 따르면 듀오는 회원 데이터베이스(DB)에 로그인할 때 일정 횟수 이상 인증에 실패하면 접속을 차단하는 기능조차 설정하지 않았다. 주민등록번호와 비밀번호를 보호하는 과정에서도 보안성이 낮은 암호화 알고리즘을 사용한 것으로 확인됐다. 외부 침입에 취약한 방식으로 정보를 저장해 둔 셈이다. 또 정회원 가입 과정에서 법적 근거 없이 주민등록번호를 수집·보관한 사실도 드러났다.
조사 과정에서 듀오가 개인정보 처리 방침에 명시된 ‘보유 기간 5년’을 초과한 회원 정보를 파기하지 않은 점도 문제로 지적됐다. 이처럼 보유 기간을 넘겨 저장됐다가 유출된 회원 정보는 29만8566명에 달한다.
또 듀오는 개인정보 유출 사실을 인지하고도 정당한 사유 없이 법정 기한인 72시간 이내에 신고하지 않은 것으로 나타났다. 민감정보가 포함된 유출 사고임에도 과징금 처분이 내려질 때까지 해당 회원들에게 유출 사실을 통지하지 않은 점도 확인됐다.
개인정보위는 듀오에 과징금을 부과하고 정보 주체에게 유출 내용을 즉각 통지하도록 했다. 또한 관련 처분 사실을 홈페이지에 공표하도록 명령했다. 수사당국은 해킹 경로를 확인해 관련자를 수사할 방침이다.
개인정보위는 상담사와 직원, 입사지원자 등 4만875명의 개인정보가 유출된 KS한국고용정보에 과징금 35억3700만 원과 과태료 420만 원을 부과했다. 이용자 5373명의 개인정보가 유출된 금릉공원묘원에도 과징금 5420만 원 처분을 내렸다.
한재희 기자 hee@donga.com
About Dong-A Ilbo