듀오 이어 골프장서도 개인정보 유출…“보안은 비용 아닌 투자여야”

리앤리CC 회원 10만 여명 생년월일·주소 등 빠져나가…북한 소행 의심
듀오서는 계좌 잔고·부동산 보유 내역까지 유출…“2차 범죄 활용 가능성”

(시사저널=이강산 기자)

ⓒ챗GPT

결혼정보업체 듀오에서 회원 43만 여명의 개인정보가 유출된 데 이어 한 대형 골프장의 회원 개인정보도 대규모로 유출돼 파장이 커지고 있다. 이에 전문가들은 취약한 암호체계를 지적하면서 사후 수습보다 사전 예방에 초점을 둔 개인정보보호법 개정안이 필요하다는 목소리를 내고 있다.

27일 경찰에 따르면, 최근 경찰청 안보수사지휘과는 경기 가평군 소재 골프장 리앤리CC의 홈페이지가 해킹돼 회원 10만여 명의 개인정보가 유출된 사실을 파악하고 수사 중이다. 유출된 개인정보는 이름·생년월일·성별·아이디·비밀번호·휴대전화 번호·유선전화 번호·이메일·주소 등으로, 경찰은 북한 주요 해킹조직의 소행으로 의심하고 있다.

경찰은 이날 정례 브리핑을 통해 "(정보가 유출됐다는) 10만 명은 경찰이 확인한 사안이 아니고 업체에서 추정한 것"이라며 "(유출) 규모는 말하기 곤란하다"라고 설명했다.

앞서 경찰은 지난 24일 듀오 쪽이 지난해 2월4일 서울 강남경찰서에 접수한 개인정보 유출 신고를 이송받아 수사를 진행하고 있다는 사실도 밝힌 바 있다. 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실에 따르면 듀오는 한국인터넷진흥원(KISA)의 '암호 알고리즘 및 키 길이 이용 안내서' 기준을 지키지 않는 등 취약한 암호체계를 운영해 왔다. 또한 듀오는 개인정보보호위원회(개보위)가 권장한 '안전한 암호 알고리즘' 역시 이용하지 않은 것으로 알려졌다.

이번 사고로 회원의 이름과 생년월일, 성별, 연락처 등 기본 정보뿐만 아니라 계좌 잔고와 부동산 보유 내역, 혼인 경력 등 민감 정보까지 빠져나가 법무법인 LKB 평산 등을 중심으로 집단소송이 준비되고 있는 상황이다.

이에 개보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다. 이를 두고 민감 정보가 유출된 것에 비해 과징금 규모가 낮다는 지적이 제기됐다. 듀오의 경우 최근 3년 평균 매출 약 413억원을 기준으로 산정됐으며, 중기업에 해당해 약 15% 감경이 적용됐다. 유출 회원 수가 43만여 명임을 감안할 때 1인당 3000원에 못 미치는 수준이다.

SKT, 쿠팡, 롯데카드 등에 이어 듀오 등 민감정보 보유 기업까지 개인정보 유출 사태가 이어지면서 정부는 올해 9월부터 반복·중대한 개인정보 유출에 대해 기존 3%에서 매출액의 최대 10%까지 과징금을 부과하는 개인정보보호법 개정안을 시행할 예정이다.

다만 일각에서는 결혼정보업체 등 민감정보를 다루는 업체에는 별도의 제재 조치가 이뤄져야 하고, 보안 인력 양성과 중소기업 지원 체계를 강화하는 등의 사전 예방책을 수립해 기업들이 사후 법적 분쟁에 초점을 맞추는 것을 방지해야 한다는 지적이 나온다.

특히 중소·중견기업이 자금 부족 등의 이유로 규제 사각지대에 놓일 가능성이 큰 상황이다. 과징금 상한이 매출액 10%로 오르고 대표이사 책임이 명시되면서 대기업은 법무 대응을 대폭 강화하고 있으나 자금 여력과 자체 보안 역량이 부족한 중소기업은 적절한 대응이 쉽지 않은 것이다.

보안 전문가인 김명주 서울여대 정보보호학부 교수는 "듀오의 경우 유출된 정보의 상당수가 민감 정보라 2차 범죄에 활용될 가능성이 매우 높아 우려된다"며 "민감정보에 대한 암호 저장을 강화해야 한다"고 했다.

이어 "사전예방은 결국 보안 등 시스템 관리에 투입하는 인력과 예산의 규모에 비례하는 것"이라며 "경영자들이 정보 보안에 대해 비용이 아닌 투자 개념으로 접근할 수 있도록 인센티브나 페널티를 부여하는 정책 항목이 필요하다"고 짚었다.