인싸잇=백소영 기자 ㅣ 결혼정보회사 듀오에서 회원 43만 명에 달하는 개인정보가 대규모로 유출된 사실이 드러났다. 정부는 보안조치 미비와 법적 근거 없는 주민등록번호 수집·보유기간 경·정보 미파기·유출 신고 지연 등을 문제 삼아 과징금과 과태료를 부과하고 피해 회원에 대한 즉시 통지를 명령했다.

 

 

23일 개인정보보호위원회에 따르면 이번 유출은 지난해 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹되면서 발생했다.

 

해커는 악성코드를 통해 데이터베이스(DB) 서버 계정 정보를 확보한 뒤 서버에 접속해 정회원 42만 7464명의 정보를 내려받아 외부로 유출한 것으로 조사됐다.

 

위원회에 따르면 유출된 정보에는 아이디와 비밀번호·이름·생년월일·주민등록번호·성별·이메일주소·휴대전화번호·주소 등 기본 인적사항이 포함된 것으로 나타났다.

 

여기에 신장·체중·혈액형·종교·취미·혼인경력·형제관계·장남·장녀 여부·출신학교명·전공·입학연도·졸업연도·학교 소재지·입사 연월·직장명까지 담긴 것으로 파악됐다.

 

개인정보위는 결혼중개업의 특성상 구혼자의 기본 정보뿐 아니라 학력·종교·직장 등 한 사람의 삶과 성향이 담긴 다량의 정보가 포함돼 있어 해커에 유출된 정보가 많을 수 밖에 없다고 설명했다.

 

아울러 개인정보위가 확인한 유출 항목 외에도, 듀오의 개인정보 처리방침에는 본관·주거유형·소유 여부·자가용 유무·가족 소유 부동산·안경 착용 여부·병역·직업·성격·외모·경제력·시부모 동거·건강 상태 등 선택적으로 수집하는 정보가 기재돼 있다.

 

다만 듀오는 종교를 제외한 인종 및 민족·사상 및 신조·정치적 성향·범죄기록·성생활 등 인권을 침해할 수 있는 부분들은 수집하지 않는다고 전했다.

 

기본 보안조치도 미비... 주민번호 불법 수집까지 적발

 

조사 결과 듀오는 개인정보 보호를 위한 핵심 안전조치를 제대로 갖추지 않은 상태였던 것으로 드러났다.

 

개인정보위는 해커가 회원 DB에 접속하는 경우 일정 횟수 이상 인증에 실패하면 접근을 제한하는 조치가 설정되지 않았다고 밝혔다.

 

주민등록번호와 비밀번호에 적용한 암호화 방식도 문제로 지적됐다.

 

개인정보위는 듀오가 이들 정보에 안전하지 않은 암호화 알고리즘을 적용해 안전성 확보 조치 의무를 위반했다고 판단했다.

 

회원 정보 수집과 보관 과정에서도 법 위반이 확인됐다.

 

듀오는 정회원 가입 과정에서 주민등록번호를 별도 법적 근거 없이 수집·저장한 것으로 조사됐다.

 

이정은 개인정보위 조사조정국 조사2과 과장은 “결혼중개업법상 국내 결혼을 중개하는 사업장이 주민등록번호를 수집할 수 있다는 명시적 근거가 없는데도 듀오가 회원 가입 시 주민등록번호를 받았고 유출한 사실이 확인됐다”고 밝혔다.

 

72시간 넘겨 신고하고 회원 통지도 안 해... 29만 건 미파기까지

 

또 회원 정보가 유출된 사실을 파악하고도 정당한 사유 없이 72시간을 넘겨 유출 신고를 지연한 정황도 확인됐다.

 

특히 결혼중개업 특성상 개인의 신상과 가치관이 집약된 정보가 대량으로 포함돼 있음에도, 피해 회원에게 이를 제때 알리지 않아 2차 피해 방지에 소홀했다고 정부는 판단했다.

 

개인정보 처리방침에는 결혼중개업법에 따라 계약 종료 시 가입일 기준 5년간 보관한다고 적시돼 있었지만, 실제로는 이 기준이 지켜지지 않았다.

 

개인정보위는 보유 기간 5년이 지난 정회원 정보 29만 8566건이 파기되지 않은 사실을 확인했다.

 

유출된 전체 회원 정보 가운데 약 30만 명의 정보가 원래라면 이미 파기됐어야 할 데이터였다는 뜻이다.

 

이 과장은 “듀오는 조사 과정에서 법 위반 사실을 인지하고 현재 회원 가입 시 주민등록번호 대신 생년월일만 받는 것으로 시정했다”고 밝혔다.

 

또 개인정보위는 듀오에 유출 사고 재발 방지를 위한 안전조치를 강화하고, 서비스 제공에 필요한 최소한의 정보를 수집하도록 개인정보 처리 방식을 점검할 것을 명령했다.

 

이어 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리체계를 강화하고, 처분 사실을 운영 중인 홈페이지에 공표하라고 했다.

 

듀오 관계자는 “개인정보위의 판단을 존중하고 회원의 개인정보가 유출돼 죄송하다”며 “다만 사고 수습을 위해 만전을 기해 회원 정보 유출에 따른 2차 피해는 아직 한 건도 발생하지 않았고, 유출 사고가 재발하지 않도록 최선을 다하겠다”고 말했다.