메뉴 보기
이른바 ‘결정사’, 결혼 정보 회사인 ‘듀오(듀오정보)’ 정회원 약 43만명 전원의 개인정보가 대량으로 유출된 사실이 밝혀졌다. 이름과 생년월일, 성별, 휴대전화 번호, 집 주소는 물론, 주민등록번호, 신장과 체중, 장남 또는 장녀 여부, 종교, 직장, 학력, 혼인 경력(초혼·재혼) 등 민감한 신상 정보가 대거 포함됐다. 그런데도 피해자들은 1년 넘도록 유출 사실조차 알지 못했다.
개인정보보호위원회는 22일 전체 회의에서 개인정보 보호법상 안전조치 의무, 주민번호 처리 제한 등을 위반한 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다. 개인정보 유출 통지를 즉각 실시할 것 등도 명령했다.
개인정보위 조사 결과, 해커가 지난해 1월 인터넷에 접속된 듀오 직원의 업무용 PC에 악성 코드를 감염시켜 회원 데이터베이스(DB) 서버에 접속, 전체 정회원 42만7464명의 개인정보를 내려받아 외부로 유출했다. 듀오는 회원 DB 접속 시 일정 횟수 이상 인증에 실패하면 접근을 제한하는 설정을 해 두지 않았다. 또 정회원 가입 시 주민번호를 법적 근거 없이 수집·저장했다. 개인정보 처리 방침에 기재된 보유 기간 5년이 지난 정회원 정보 29만8566건을 파기하지도 않았다.
개인정보위는 “결혼 중개 회사인 특성상 구혼자의 기본적인 개인정보뿐 아니라 삶과 성향이 담긴 다량의 민감한 정보를 수집하고 있다”며 “해당 정보가 유출됐음에도 그 사실을 정보 주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응을 소홀히 했다”고 듀오를 질타했다.
아울러 개인정보위는 이날 회의에서 ‘KS한국고용정보’에 과징금 35억3700만원과 과태료 420만원을 부과했다.
KS한국고용 역시 지난해 4월 해커가 개인정보 처리 시스템 관리자 페이지에 접속해 본사 직원과 입사 지원자, 상담사 등 4만875명의 개인정보를 내려받아 유출했다. 이름과 주민번호, 주소, 휴대전화 번호, 계좌번호 등이다.
해커는 또 입력 값을 조작해 파일을 내려받을 수 있는 웹페이지 취약점을 악용해 KS한국고용 시스템 서버 내 인사 서류 파일 약 5만건을 유출했다. 상담사, 직원 등이 제출한 주민등록등본, 신분증·통장 사본은 물론 가족 관계 증명서까지 유출됐다. 해커는 이 정보들을 다크웹에 게시해 거래를 시도한 것으로 확인됐다.
KS한국고용은 해당 시스템으로 인사 관리 및 콜센터 운영 관련 기능까지 운영하면서 접속 권한을 IP(인터넷 프로토콜) 등으로 제한하지 않았다. 아이디와 비밀번호만으로 외부에서 제한 없이 시스템 접속이 가능했다. 또 입사 지원자가 직원이 되기 전까진 주민번호를 처리할 수 없는데 일부 지원자의 주민번호를 수집·처리했다. 퇴사자와 교육생 2035명의 개인정보도 제때 파기하지 않았다.
개인정보위는 “결혼 중개, 채용 서비스 등 정보 주체로부터 민감한 개인정보를 대량으로 수집하는 처리자를 대상으로 개인정보 수집·이용 적절성과 정보 주체의 권리 보호 수준을 평가하고 개선해 나가겠다”고 밝혔다.
