국내 최대 결혼정보회사인 '듀오'가 회원 약 43만 명의 개인정보를 유출해 정부로부터 12억 원대에 달하는 거액의 징벌을 받게 됐다.
23일 개인정보보호위원회는 듀오정보에 과징금 11억 9700만 원과 과태료 1320만 원을 부과하고, 유출 사실을 회원들에게 즉각 통지하라고 명령했다.
이번 사건은 지난해 1월 개인정보 취급 직원의 업무용 PC가 해킹당하면서 시작됐다. 이 사고로 정회원 42만 7000여 명의 정보가 고스란히 외부로 빠져나갔다.
기사의 이해를 돕기 위한 AI 이미지
유출 항목에는 이름, 생년월일, 연락처 등 기본 정보는 물론 신장, 체중, 혈액형, 종교, 혼인 경력, 직장 등 결혼정보회사 특성상 수집된 극히 민감한 프로필이 대거 포함됐다.
조사 결과 듀오의 보안 관리 체계는 사실상 무방비 상태였던 것으로 드러났다. 데이터베이스 접속 시 인증 실패 횟수 제한과 같은 기본적인 접근 통제 장치가 미흡했다. 특히 주민등록번호와 비밀번호를 안전하지 않은 방식으로 암호화해 보관해온 사실이 확인됐다.
법적 근거 없이 주민등록번호를 수집·보관하고, 보유 기간이 지난 회원 정보 29만 건을 파기하지 않은 점도 적발됐다.
기사의 이해를 돕기 위한 자료 사진 / GettyimagesBank
듀오는 유출 사실을 인지하고도 72시간 이내에 신고해야 하는 의무를 정당한 사유 없이 어겼고, 피해 회원들에게 이 사실을 알리지 않아 2차 피해 방치 논란까지 불러일으켰다.
개인정보위는 듀오에 보안 강화와 최소 정보 수집 원칙 준수, 명확한 파기 기준 마련 등 전면적인 관리체계 개선을 명령하고 처분 사실을 홈페이지에 공표하도록 했다.
듀오 측은 "개인정보위 판단을 존중하며 회원들에게 사과드린다"며 "현재까지 2차 피해는 발생하지 않았으며 재발 방지에 최선을 다하겠다"고 밝혔다. 현재 듀오는 주민등록번호 수집을 중단하고 생년월일로 대체한 상태다.