42만 명 키·주민번호·직장 털렸는데…결혼정보회사 듀오, 해킹 피해 ‘쉬쉬’

법적 근거 없는 정보 수집·보관, 5년 지난 회원 정보 파기 안 해

자료사진. 기사와 직접적인 관련 없음. 국제신문DB

- 개인정보위, 과징금·과태료 부과

결혼정보회사인 듀오에서 개인정보를 다루는 직원의 업무용 PC가 해킹당해 40만 명 넘는 회원의 개인정보가 외부로 유출됐다.

23일 개인정보보호위원회에 따르면 지난해 1월 듀오에서 유출된 정보에는 정회원 42만7464명의 아이디와 비밀번호 이름 생년월일 주민등록번호 성별 이메일주소 휴대전화번호 주소 등 기본 인적사항뿐만 아니라 신장 체중 혈액형 종교 취미 혼인경력 형제관계는 물론 학교명과 소재지, 전공 입학·졸업 연도, 입사연월 직장명 등이 포함됐다.

개인정보위 조사에서 듀오는 해커가 회원 데이터베이스(DB)에 접속을 시도할 때 인증 실패가 일정 횟수 이상 반복되면 접근을 차단하는 등의 보호 조치를 마련하지 않은 것으로 나타났다. 또 주민등록번호와 비밀번호에 안전성이 낮은 암호화 알고리즘을 적용하는 등 안전성 확보 의무를 위반한 사실도 확인됐다.

추가로 듀오는 정회원 가입 과정에서 별도의 법적 근거 없이 주민등록번호를 수집·보관했고, 개인정보 처리방침에 명시된 보유기간 5년이 지난 정회원 정보 29만8566건도 파기하지 않은 것으로 조사됐다.

개인정보위 이정은 과장은 “결혼중개업법상 국내 결혼을 중개하는 사업장이 주민등록번호를 수집할 수 있다는 명시적 근거가 없는데도 듀오가 회원 가입 시 주민등록번호를 받았고 유출한 사실이 확인됐다”며 “듀오는 조사 과정에서 법 위반 사실을 인지하고 현재 회원 가입 시 주민등록번호 대신 생년월일만 받는 것으로 시정했다”고 말했다.

개인정보위는 또 듀오가 회원 정보 유출 사실을 알고도 정당한 사유 없이 72시간 내 신고 의무를 지키지 않은 것으로 판단했다. 특히 결혼중개업체 특성상 학력 종교 직장 등 민감한 정보가 다수 포함돼 있는데도 피해 회원에게 유출 사실을 알리지 않아 2차 피해 예방 조치에도 미흡했다고 봤다.

이에 개인정보위는 듀오에 과징금 11억9700만 원과 과태료 1320만 원을 부과하고, 개인정보가 유출된 회원들에게 해당 사실을 즉시 통지하라고 명령했다. 이와 함께 재발 방지를 위한 안전조치 강화, 서비스 제공에 필요한 최소한의 개인정보만 수집하는 방식으로의 개선, 명확한 파기 지침 마련 등 전반적인 보호·관리체계 정비를 요구했고, 처분 사실도 홈페이지에 공표하도록 했다.