결혼정보회사 듀오정보에서 회원의 민감한 프로필 정보가 대거 유출돼 정부가 제재에 나섰다. 결혼중개 서비스 특성상 폭넓은 개인정보가 탈취됐다.
개인정보보호위원회는 듀오정보에서 회원 42만7464명의 개인정보가 외부로 유출돼 과징금 11억9700만원과 과태료 1320만원이 부과했다고 23일 밝혔다. 유출 피해 회원에 대한 즉각적인 통지와 재발 방지 대책 마련도 함께 명령했다.
이번 사고는 지난해 1월 듀오정보 직원의 업무용 PC가 악성코드에 감염되면서 발생했다. 해커는 이를 통해 데이터베이스(DB) 서버 계정 정보를 확보한 뒤 정회원 정보가 저장된 회원 DB에 접속했고, 전체 정회원 정보를 외부로 빼낸 것으로 조사됐다.
유출된 정보에는 아이디, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일주소, 휴대전화번호, 주소 등 기본 인적사항뿐 아니라 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제관계, 장남·장녀 여부, 학교명, 전공, 입학연도, 졸업연도, 학교 소재지, 입사연월, 직장명 등이 포함됐다.
조사 결과 듀오정보는 회원 DB 접속 과정에서 일정 횟수 이상 인증 실패 시 접근을 제한하는 조치를 적용하지 않았고, 주민등록번호와 비밀번호에도 안전성이 낮은 암호화 알고리즘을 사용한 것으로 나타났다.
또 정회원 가입 과정에서 별도 법적 근거 없이 주민등록번호를 수집·저장했고, 개인정보처리방침에 기재한 보유기간 5년이 지난 정회원 정보 29만8566건도 파기하지 않았다.
사고 이후 대응도 미흡했다. 듀오정보는 유출 사실을 확인하고도 정당한 사유 없이 72시간을 넘겨 신고를 지연했고, 정보주체인 회원들에게 유출 사실도 통지하지 않은 것으로 조사됐다.
이날 개인정보위는 다른 2개 사업자에 대한 제재도 확정·발표했다.
케이에스한국고용은 상담사·직원·입사지원자 등 4만875명의 개인정보와 인사서류 약 5만건이 유출돼 과징금 35억3700만원과 과태료 420만원을 부과받았다.
금릉공원묘원은 웹사이트 취약점으로 이용자 5373명의 개인정보가 유출돼 과징금 5420만원 처분을 받았다.
박진형 기자 jin@etnews.com
