VIEW

[디지털데일리 박재현기자] 국내 대표 결혼중개업체 듀오정보(듀오)가 회원 42만여 명의 종교·학력·직장 등 민감 개인정보를 해킹으로 유출하고도 피해자에게 통지조차 하지 않은 것으로 드러났다.

23일 개인정보보호위원회는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과하고, 정보 주체에 대한 유출 통지 및 홈페이지 공표를 명령했다.

개보위에 따르면 해커는 지난해 1월 듀오 개인정보취급 직원의 업무용 PC에 악성코드를 심어 DB 서버 계정 정보를 탈취했다. 이를 통해 DB 서버에 접속, 전체 정회원 42만7464명의 정보를 외부로 유출했다.

유출된 개인정보는 최소 24종 이상이다. 아이디·비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화), 휴대전화 번호, 주소를 비롯해 신장·체중·혈액형·종교·취미·혼인경력·형제 관계·장남장녀 여부, 출신학교명·전공·학교 소재지·입학·졸업 연도, 직장명·입사 연월까지 포함됐다.

결혼중개업체 특성상 한 사람의 삶 전반이 담긴 정보가 집중됐다는 점에서 피해 심각성이 크다.

개보위는 동의 기반의 선택 수집 항목까지 감안하면 실제 피해 규모는 더 클 것으로 보고 있다. 듀오의 개인정보 처리방침상 수집 가능한 항목에는 주거유형·부동산 소유 여부·자가용 유무·병역·건강 상태 등 극히 민감한 정보도 다수 포함돼 있다.

유출된 42만여 명 중 약 30만 명은 서비스 계약이 종료돼 마땅히 파기됐어야 할 정보였다. 듀오는 내부 지침상 계약 종료 후 5년 보관을 규정하고 있으나, 이 기준조차 지켜지지 않은 것으로 확인됐다.

더 큰 문제는 사후 대응이다. 듀오는 개인정보위 조사와 과징금 제재가 진행되는 상황에서도 피해 회원에게 유출 사실을 통지하지 않았다.

개보위는 듀오 제재 관련 보도자료에서 “유출을 확인하고도 정당한 사유 없이 72시간을 초과해 신고를 지연했다”며 “결혼중개회사의 특성상 구혼자의 기본적인 개인정보뿐만 아니라 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량의 민감한 정보를 수집하고 있으며, 해당 정보가 유출됐음에도 그 사실을 정보 주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인됐다”고 질타했다.

개인정보위는 이번 명령을 통해 듀오에 즉각적인 유출 통지 실시와 처분 사실의 홈페이지 공표를 촉구했다.