털렸다 ‘듀오’…‘키·몸무게부터 직장까지’ 43만여명 개인정보 유출
2026.04.23 16:06
사업자 3곳에 47억원 과징금·1740만원 과태료 부과
개인정보보호위원회는 22일 전체 회의를 열고 개인정보 보호 법규를 위반한 사업자 3곳에 대해 총 47억여원의 과징금과 1740만원의 과태료를 부과하고, 시정조치 및 공표 명령을 의결했다고 23일 밝혔다.
이들 사업자는 개인정보처리시스템 안전조치를 소홀히 해 개인정보를 유출했고, 법적 근거 없이 주민등록번호를 처리한 것으로 드러났다.
듀오, 43만명 정보 유출…키·종교·직장 등 민감정보 포함
유출 정보에는 이름·생년월일·연락처 같은 기본 정보는 물론 신장·체중·혈액형·종교·취미·혼인·학력·직장 등 민감한 개인정보도 포함됐다.
조사 결과 해커는 2025년 1월 인터넷망에 접속한 직원의 업무용 PC를 악성코드에 감염시킨 뒤 회원 DB 서버에 접근해 전체 정회원 정보를 내려받아 빼낸 것으로 파악됐다.
개인정보위는 듀오가 회원 DB 접속 때 인증 실패 횟수 제한을 두지 않고, 주민등록번호와 비밀번호에도 안전하지 않은 암호화 방식을 적용하는 등 보호조치를 소홀히 했다고 봤다. 정회원 가입 과정에서도 법적 근거 없이 주민등록번호를 수집·보관했고, 보유기간이 지난 회원 정보 29만8566건도 파기하지 않은 것으로 조사됐다.
여기에 유출 사실을 파악하고도 72시간 내 신고 의무를 지키지 않았고, 회원들에게도 이를 제때 알리지 않는 등 사후 대응도 미흡했던 것으로 드러났다.
이에 개인정보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과하고, 유출 통지와 보안 강화, 명확한 파기 지침 수립 등 시정조치를 명령했다.
KS한국고용정보, 관리자 계정 뚫려 4만여명 정보·인사서류 5만건 유출
개인정보위에 따르면 해커는 2025년 4월15일 관리자 계정에 접속해 상담사·직원·입사지원자 등 4만875명의 개인정보를 내려받아 유출했다. 유출 정보에는 이름·주민등록번호·휴대전화번호·주소·이메일·계좌번호 등이 포함됐다.
여기에 서버에 저장된 인사서류 파일 약 5만건도 추가로 유출됐다. 이곳엔 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등이 포함돼 본인뿐 아니라 가족 개인정보까지 함께 노출된 것으로 조사됐다. 해커는 이후 이 정보를 다크웹에 올리고 DB 거래도 시도한 것으로 확인됐다.
조사 결과 KS한국고용은 아이디와 비밀번호만으로 외부 접속이 가능하게 운영했고, 주민등록번호도 암호화하지 않은 채 저장하는 등 기본적인 보호조치를 지키지 않았다. 또 입사지원자의 주민등록번호를 법적 근거 없이 수집하고, 보유기간이 지난 교육생·퇴사자 2035명의 개인정보도 파기하지 않은 것으로 드러났다.
개인정보위는 KS한국고용에 과징금 35억3700만원과 과태료 420만원을 부과했다. 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황 주기적 점검, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령했다.
금릉공원묘원, 취약점 방치해 5000여명 정보 유출
조사 결과 해커는 관리비 조회·납부 페이지의 파라미터 변조 취약점을 악용해 이름·주민등록번호·휴대전화번호 등을 빼낸 것으로 확인됐다. 입력값을 비워 전송하면 전체 개인정보가 노출되는 구조였는데도 금릉공원묘원은 해당 취약점 점검과 조치를 제대로 하지 않았다. 이 과정에서 인터넷망 전송 구간 암호화도 적용하지 않은 것으로 조사됐다.
개인정보위는 이에 따라 금릉공원묘원에 과징금 5420만원을 부과하고, 취약점 점검과 암호화 등 안전관리 체계 강화를 명령했다.
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!
ks한국고용정보의 다른 소식
모든 소식을 불러왔습니다