결혼정보회사 듀오에서 회원 수십만 명의 민감한 개인정보가 대거 유출된 사실이 뒤늦게 드러났습니다.
정부는 유출 사실을 알고도 신고를 늦춘 듀오에 과징금과 과태료를 부과하고 피해 회원에게 개인정보 유출 사실을 즉각 통지하라고 명령했습니다.
개인정보보호위원회는 듀오에서 개인정보를 취급하던 직원의 업무용 PC가 해킹당해 정회원 42만 7천464명의 개인정보가 외부로 유출됐다고 오늘(23일) 밝혔습니다.
유출된 정보에는 아이디와 비밀번호, 이름, 주민등록번호, 연락처 등 기본 인적 사항은 물론 신장과 체중, 혈액형, 종교, 취미, 혼인 경력, 학력, 직장 등 개인의 신상과 성향을 파악할 수 있는 민감한 정보가 대거 포함된 것으로 조사됐습니다.
조사 결과 듀오는 해커가 회원 데이터베이스에 접속할 때 일정 횟수 이상 인증에 실패하면 접근을 제한하는 보안 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보 의무를 위반한 것으로 확인됐습니다.
또, 정회원 가입 과정에서 별도의 법적 근거 없이 주민등록번호를 수집·저장했고, 보유 기간 5년이 지난 회원 정보 29만 8천566건을 파기하지 않은 사실도 드러났습니다.
특히 듀오는 회원 정보 유출 사실을 파악하고도 정당한 사유 없이 72시간이 지나도록 신고하지 않은 정황도 확인됐습니다.
개인정보보호위원회는 결혼중개업 특성상 회원의 인적 사항뿐 아니라 학력과 종교, 직장 등 민감한 정보가 다량 포함돼 있는데도 피해 회원에게 유출 사실을 통지하지 않아 2차 피해 방지에 소홀했다고 판단했습니다.
이정은 개인정보위 조사조정국 조사2과 과장은 "결혼중개업법상 국내 결혼을 중개하는 사업장이 주민등록번호를 수집할 수 있다는 명시적 근거가 없는데도 듀오가 회원 가입 시 주민등록번호를 받았고 유출한 사실이 확인됐다"며 "듀오는 조사 과정에서 법 위반 사실을 인지하고 현재 회원 가입 시 주민등록번호 대신 생년월일만 받는 것으로 시정했다"고 말했습니다.
개인정보보호위원회는 듀오에 과징금 11억 9천700만 원과 과태료 1천320만 원을 부과하고, 개인정보가 유출된 회원에게 즉각 유출 사실을 통지하라고 명령했습니다.
또, 유출 사고 재발 방지를 위한 안전 조치를 강화하고 서비스 제공에 필요한 최소한의 정보만 수집하도록 개인정보 처리 방식을 점검하는 한편, 명확한 파기 지침 수립 등 전반적인 개인정보 보호 관리 체계를 강화하라고 지시했습니다.
아울러 이번 처분 사실을 운영 중인 홈페이지에 공표하도록 했습니다.
듀오 관계자는 "개인정보위의 판단을 존중하고 회원의 개인정보가 유출돼 죄송하다"며 "다만 사고 수습을 위해 만전을 기해 회원 정보 유출에 따른 2차 피해는 아직 한 건도 발생하지 않았고, 유출 사고가 재발하지 않도록 최선을 다하겠다"고 밝혔습니다.
(사진=연합뉴스TV 제공, 연합뉴스)