결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 신체조건, 혼인경력, 직업, 학력, 자산 등 민감한 프로필 정보가 대거 유출된 것으로 드러난 23일 서울 강남구 역삼동에 있는 듀오 본사에 간판이 보인다. [사진=연합뉴스]

결혼정보회사 듀오에서 회원 43만여 명의 민감한 개인정보가 해킹으로 대거 유출된 사실이 뒤늦게 드러났다. 개인정보보호위원회는 23일 듀오에 과징금 11억9천700만원과 과태료 1천320만원을 부과하고, 피해 회원에게 즉각 유출 사실을 통지하도록 명령했다.

지난해 1월 듀오 직원의 업무용 PC가 해킹당하면서 정회원 42만7천464명의 개인정보가 외부로 빠져나갔다. 유출된 정보의 범위는 이름·생년월일·주민등록번호·주소·연락처 같은 기본 신상에 그치지 않았다. 신장·체중·혈액형 등 신체 정보는 물론 종교·취미·혼인경력·형제 관계, 학교명·전공·입학졸업 연도, 직장명·입사 연월까지 포함됐다. 결혼정보회사 특성상 한 사람의 삶과 성향을 총망라한 민감정보가 그대로 노출된 셈이다.

개인정보위 조사 결과 듀오의 보안 관리 체계는 여러 면에서 취약했던 것으로 드러났다.

첫째, 해커가 회원 DB에 반복 접속 시도를 해도 일정 횟수 이상 인증 실패가 발생하면 접근을 차단하는 기본적인 보호 장치가 없었다. 둘째, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용했다. 셋째, 개인정보 처리 방침에 명시한 보유 기간 5년이 지난 정회원 정보 29만8천566건을 파기하지 않고 보관하고 있었다.

법적 근거 없는 주민등록번호 수집도 문제가 됐다. 개인정보위에 따르면 결혼중개업법상 국내 결혼 중개 사업자에게 주민등록번호 수집을 허용하는 명시적 규정이 없음에도 듀오는 회원 가입 시 이를 수집해왔다. 조사 이후 듀오는 주민등록번호 대신 생년월일만 수집하는 방식으로 절차를 변경했다.

더 큰 문제는 사후 대응이었다. 듀오는 정보 유출 사실을 파악하고도 정당한 이유 없이 72시간이 넘도록 신고를 미룬 정황이 확인됐다. 피해 회원에게 유출 사실을 통보하지 않아 2차 피해 예방에도 소홀했다는 것이 당국의 판단이다.

개인정보위는 듀오에 ▲피해 회원 즉각 통지 ▲안전조치 강화 ▲최소한의 정보만 수집하도록 처리 방식 점검 ▲명확한 파기 지침 수립 ▲처분 내용 홈페이지 공표 등을 명령했다.

듀오 측은 "개인정보위의 판단을 존중하고 피해 회원에게 죄송하다"면서 "사고 수습에 만전을 기해 현재까지 2차 피해는 단 한 건도 발생하지 않았다"고 밝혔다.

“ 저작권자 ⓒ 퍼스널포커스 무단전재 및 재배포 금지 ”