듀오 회원 43만명 개인정보 털렸다…민감정보까지 줄줄이

KS한국고용·금릉공원묘원 등 과징금 총 47억

결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 신체조건, 혼인경력, 직업, 학력, 자산 등 민감한 프로필 정보가 대거 유출된 것으로 드러난 23일 서울 강남구 역삼동에 있는 듀오 본사에 간판이 보인다. [사진=연합뉴스]

개인정보 보호 법규를 위반한 결혼정보업체 듀오정보를 비롯해 3개 사업자에 대해 총 47억 원대 과징금이 부과됐다. 대규모 개인정보 유출과 함께 주민등록번호를 법적 근거 없이 수집·보관한 사실이 주요 위반 사유로 드러났다.

개인정보보호위원회는 23일 제7회 전체회의를 열고 듀오를 포함한 3개 사업자에 총 47억8820만 원의 과징금과 1740만 원의 과태료를 부과하고 시정명령 및 공표를 의결했다고 밝혔다.

가장 큰 규모의 개인정보 유출이 발생한 곳은 결혼정보업체 듀오다. 조사에 따르면 해커는 올해 1월 듀오 직원의 업무용 PC에 악성코드를 감염시킨 뒤 DB 서버 계정 정보를 확보, 회원 데이터베이스에 접근해 정회원 42만7464명의 개인정보를 외부로 유출했다.

유출된 정보에는 이름, 생년월일, 연락처 등 기본 정보뿐 아니라 학력, 직장, 종교, 혼인경력 등 개인의 성향을 파악할 수 있는 민감 정보가 대거 포함됐다. 결혼중개 서비스 특성상 개인의 삶 전반을 드러내는 정보가 담겨 있어 2차 피해 우려도 큰 상황이다.

문제는 관리 부실이었다. 듀오는 회원 DB 접속 시 일정 횟수 이상 인증 실패 시 차단하는 등 기본적인 접근통제 조치를 마련하지 않았고, 주민등록번호와 비밀번호에 취약한 암호화 방식을 적용한 것으로 확인됐다.

또한 법적 근거 없이 주민등록번호를 수집·저장했고, 보유기간이 지난 회원 정보 약 29만 건도 파기하지 않았다. 특히 개인정보 유출 사실을 인지하고도 신고를 72시간 넘게 지연하고, 이용자에게 유출 사실을 통지하지 않은 점도 지적됐다.

이에 개인정보위는 듀오에 과징금 11억9700만 원과 과태료 1320만 원을 부과하고, 정보주체 대상 유출 통지와 재발 방지 대책 마련을 명령했다.

이와 함께 콜센터 아웃소싱 업체 KS한국고용정보와 금릉공원묘원도 개인정보 보호조치 미흡으로 적발됐다.

KS한국고용정보는 관리자 계정 탈취로 직원·지원자 등 4만여 명의 개인정보와 인사서류 5만 건이 유출되며 35억 원대 과징금을 부과받았다. 금릉공원묘원 역시 웹사이트 취약점으로 5000여 명의 개인정보가 유출돼 5420만 원의 과징금 처분을 받았다.

개인정보위는 “주민등록번호는 법령상 근거가 있는 경우에만 제한적으로 처리해야 한다”며 “사업자들은 최소한의 개인정보만 수집하고, 암호화 등 안전조치를 철저히 이행해야 한다”고 강조했다.