국내 결혼중개업체 듀오정보(듀오)가 해킹 공격으로 약 43만명의 정회원 개인정보를 유출한 사실이 드러났다. 해킹이 벌어진 때는 지난해 1월이었다.

유출된 정보에는 이름, 연락처, 주소 등 기본 인적사항뿐 아니라 학력, 직장, 종교, 혼인경력, 신체정보 등 민감한 프로필 정보가 대거 포함됐다. 개인정보보호위원회는 듀오가 안전조치 의무를 위반했으며, 유출 사실을 인지하고도 72시간 내 신고 의무를 지키지 않고 피해자 통지도 하지 않은 점을 중대하게 판단해 과징금 11억9700만원과 과태료 1320만원을 부과했다.

개인정보위 조사에 따르면, 지난해 1월 듀오 직원의 업무용 PC가 악성코드에 감염되면서 해커가 내부 DB 서버 계정 정보를 탈취했고, 이를 이용해 정회원 42만7464명의 개인정보를 내려받아 외부로 유출했다.

유출된 정보는 △아이디 △비밀번호(암호화) △이름 △생년월일 △주민등록번호(암호화) △이메일 △휴대전화번호 △주소 △신장·체중 △혈액형 △종교 △취미 △형제관계 △학력 △직장 정보 등 결혼중개 서비스 특성상 수집되는 삶의 성향과 배경이 담긴 민감정보 전반을 포함한다.

개인정보보호위원회의 조사 결과에 따르면 듀오는 회원 데이터베이스(DB) 접속 시 인증 실패 횟수 제한 등 기본적인 접근통제 기능을 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 사용한 사실이 확인됐다.

또 정회원 가입 과정에서 법적 근거 없이 주민등록번호를 수집·저장했으며, 개인정보 처리방침에 명시한 보유기간 5년이 지난 29만8566건의 회원 정보를 파기하지 않은 점도 알려졌다.

특히 유출 이후의 회사측 대응도 문제로 드러났다. 듀오는 유출 사실을 확인하고도 정당한 사유 없이 72시간이 지나서야 개인정보위에 신고했으며, 무엇보다 현재까지도 피해 회원에게 유출 사실을 통지하지 않은 것으로 나타났다. 개인정보위는 “결혼중개업 특성상 민감한 정보가 집중적으로 수집되는 만큼, 유출 시 2차 피해 가능성이 매우 높다”며 듀오의 대응을 강하게 비판했다.

개인정보위는 듀오에 대해 △피해 회원 대상 즉각 통지 △안전조치 강화 △필요 최소한 정보만 수집하도록 처리 방식 점검 △명확한 파기 지침 마련 △처분 내용 홈페이지 공표 등을 명령했다.

듀오는 “위원회의 판단을 존중하며 재발 방지에 최선을 다하겠다”며 “현재까지 2차 피해 사례는 없다”고 밝혔다.

이번 사건은 대규모 민감정보를 다루는 결혼중개업체의 보안 관리 실태의 취약성을 깨닫게 하고 있다. 분야를 막론하고 개인정보 보호 체계 전반의 점검 필요성이 다시 한번 제기되고 있다.