직장명·종교까지 싹…듀오 회원 43만명 개인정보 털렸다

작년 1월 해커 침입해 정보 내려받아
듀오 제때 안 알려…과징금 12억 부과

듀오 홈페이지 갈무리

결혼정보업체 듀오에서 회원 43만 명의 개인정보가 유출된 것으로 파악됐다. 이름과 휴대전화 번호뿐만 아니라 신장, 몸무게, 종교, 직장명 등의 정보도 포함된 것으로 나타났다. 듀오는 이를 알고도 제때 신고하지 않거나 피해자에게 알리지 않은 것으로 조사됐다.

개인정보보호위원회는 22일 제7회 전체회의를 열어 듀오를 비롯해 개인정보보호법을 위반한 KS한국고용정보, 금릉공원묘원에 총 47억8820만 원의 과징금과 1740만 원의 과태료 부과를 의결했다고 23일 밝혔다. 시정조치 및 공표 명령도 의결했다.

개인정보위에 따르면 듀오는 정회원 42만7464명의 개인정보가 유출된 것으로 조사됐다. 해커는 지난해 1월 인터넷망에 접속한 듀오 직원의 업무용 PC를 악성코드에 감염시켰다. 이후 데이터베이스(DB) 서버 계정 정보를 탈취해 회원들의 개인정보를 내려받아 외부로 유출한 것으로 파악됐다.

유출된 개인정보에는 ID, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일 주소, 휴대전화 번호, 주소, 신장, 체중, 종교, 취미, 혼인 경력, 형제 관계, 장남·장녀 여부, 학교명, 전공, 입학 및 졸업 연도, 학교 소재지, 입사 연월, 직장명 등이 담긴 것으로 나타났다.

조사 결과 듀오는 정회원의 개인정보가 저장돼 있는 회원 DB에 접속할 때 일정 횟수 이상 인증에 실패할 경우 접근 제한 등의 조치를 설정하지 않은 것으로 파악됐다. 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전 조치 의무도 위반한 것으로 나타났다.

또한 듀오는 정회원의 가입 과정에서 별도의 법적 근거 없이 주민등록번호를 수집·저장한 것으로 조사됐다. 보유 기간이 지난 정회원 정보 29만8566건을 파기하지 않은 것으로 나타나기도 했다.

듀오는 유출 사실을 인지하고도 정당한 사유 없이 72시간을 넘겨 신고를 지연한 것으로 나타났다. 유출 사실을 정보 주체에게 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것으로 조사됐다.

개인정보위는 듀오에 과징금 11억9700만 원, 과태료 1320만 원을 부과했다. 또한 유출 사실을 정보 주체에게 즉시 통지하도록 명령했다. 처분 사실에 대해서도 홈페이지에 공표하도록 했다.

정봉오 기자 bong087@donga.com