듀오 홈페이지 캡처
결혼정보회사 1위 업체인 ‘듀오’에서 회원 43만명의 개인정보가 대거 유출된 사실이 23일 확인됐다. 회원들의 이름은 물론이고 종교·취미·혼인경력·직장·키·체중·혈액형·전화번호 등 민감한 정보가 모두 유출됐다.
개인정보보호위원회는 지난 22일 전체회의를 열고 개인정보보호법규를 위반한 듀오에 과징금 11억9700만원과 과태료 1320만원 등을 부과했다고 이날 밝혔다.
위원회에 따르면 해커는 작년 1월 듀오의 개인정보취급 직원의 업무용 PC에 악성코드를 감염시킨 뒤 데이터베이스(DB) 서버 계정 정보를 확보했다. 이런 정보를 활용해 DB 서버에 접속해 전체 듀오 정회원 42만7464명의 정보를 내려받아 외부로 유출했다.
듀오에서 유출된 것으로 확인한 개인정보 종류는 최소 24가지가 넘는다. 유출된 정보는 이름, 생년월일, 암호화된 주민등록번호, 휴대전화 번호, 주소, 키. 체중, 혼인 경력, 형제 관계, 졸업 학교, 종교 등 민감한 정보도 다수 포함됐다.
결혼중개업체 특성상 회원에게서 수집하는 정보가 방대하고 다양하기 때문에 해커에 유출된 정보도 그만큼 많을 수밖에 없다고 위원회측은 설명했다. 또 듀오가 개별 동의를 받고서 회원에게서 선택적으로 수집한 정보도 많은 것으로 전해져 피해는 더 클 것으로 보인다.
듀오는 또 정회원 가입 시 주민등록번호와 같은 개인정보를 별도 근거 없이 수집·저장했고, 개인정보처리방침에 적힌 보유 기간 5년이 지난 후에도 회원 정보를 파기하지 않았다. 파기하지 않고 유출된 회원 정보만 29만8566명에 달한다.
듀오는 회원 정보가 유출된 사실을 파악하고도 정당한 사유 없이 법에서 규정한 기한인 72시간 이내에 유출신고를 하지 않았다. 뿐만 아니라 민감 정보가 유출됐는데도 현재까지 해당 회원에게 유출 사실을 통지하지 않은 것으로 나타났다.
위원회는 듀오에 유출사고 재발방지를 위한 안전조치를 강화하는 한편 서비스 제공에 필요한 최소한의 정보를 수집하도록 개인정보 처리 방식을 점검하고, 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리체계를 강화하라고 명령했다. 아울러 처분 사실을 운영 중인 홈페이지에 공표하라고 했다.