국내 최대 결혼정보업체인 주식회사 듀오정보(이하 듀오)가 회원 43만 명의 극히 민감한 개인정보를 유출해 정부로부터 거액의 과징금을 부과받았다. 듀오에서는 가입 회원 43만 명의 민감한 정보를 포함한 프로필이 대거 유출됐음에도 이를 피해 회원에게 해당 사실을 통지하지 않은 것으로 알려졌다. 

23일 개인정보보호위원회(이하 개인정보위)는 전체 회의를 열고 개인정보 보호법을 위반한 듀오에 대해 과징금 11억 9700만 원과 과태료 1320만 원을 부과하기로 했다.

조사 결과에 따르면, 지난해 1월 듀오 직원의 업무용 PC가 해킹당하며 정회원 42만 7464명의 정보가 외부로 빠져나갔다. 유출된 항목은 단순 인적 사항을 넘어선다. 아이디와 비밀번호는 물론 신장, 체중, 혈액형, 종교 등 신체 조건과 혼인경력, 형제 관계, 직장명, 연봉 등 민감한 프로필 데이터가 대거 포함됐다.

개인정보위의 조사 과정에서 듀오는 회원 데이터베이스(DB) 접속 시 인증 실패에 따른 접근 제한 조치를 설정하지 않았으며, 주민등록번호와 비밀번호 암호화에도 안전하지 않은 알고리즘을 사용한 것으로 드러났다.

법 위반 행태도 심각했다. 듀오는 개인정보 처리 방침에 명시한 보유기간인 5년이 지난 29만 8566건의 회원 정보도 파기하지 않고 그대로 방치하다 이번 해킹 사고의 피해 규모를 키웠다.

사후 대응에도 문제가 있는 것으로 드러났다. 듀오는 유출 사실을 인지한 후 72시간이 지나서야 신고를 마쳤으며, 피해 회원들에게 유출 통지를 제때 하지 않아 2차 피해 방지 의무를 소홀히 했다는 비판을 면치 못하게 됐다.

정부의 이번 처분에 따라 듀오는 즉각 피해 회원에게 유출 사실을 알리고, 홈페이지에 처분 사실을 공표해야 한다. 

듀오 관계자는 “개인정보위의 결정을 존중하며 회원들께 깊이 사과드린다”며 “아직 유출에 따른 2차 피해는 보고되지 않은 상황이다. 보안 강화에 최선을 다하겠다”고 말했다.
 

[ 경기신문 = 정진희 기자 ]