최근 결혼정보회사 주식회사 듀오정보(듀오)에서 회원 43만 명의 민감한 개인정보가 대량으로 유출된 사실이 밝혀져 큰 파장이 일고 있다. 유출된 정보는 단순한 계정 정보에 그치지 않고, 회원의 신체조건, 혼인경력, 직업, 학력, 자산 등 다양한 개인적인 프로필이 포함되어 있어 심각성이 더욱 부각되고 있다. 이에 따라 개인정보보호위원회는 듀오에 과징금 12억 원을 부과하기로 결정하였다.
22일 열린 개인정보보호위원회의 전체회의에서는 듀오에 대해 11억9,700만 원의 과징금과 1,320만 원의 과태료를 부과하기로 의결하였다. 조사 결과, 이번 유출 사건은 외부 해킹과 내부 통제의 부실이 결합하여 발생한 구조적 문제로 확인되었다. 지난해 1월 해커가 듀오의 개인정보를 처리하는 직원의 업무용 PC에 악성 코드를 심어, 이를 통해 회원 데이터베이스에 접근하여 정보를 탈취한 것으로 알려져 있다. 유출된 회원 수는 정회원 기준으로 42만7,464명에 이른다.
유출된 정보의 범위는 상상을 초월한다. 회원의 아이디와 비밀번호는 물론, 성별, 주소, 신장 및 체중, 혈액형, 종교, 취미, 혼인 경력, 가족 관계 등 개인의 성향과 배경을 드러내는 정보가 포함되어 있다. 더욱이 학력, 전공, 졸업 연도, 직장명, 입사 시기까지 포함되어 있어 사실상 개인 프로필이 외부로 유출된 것으로 볼 수 있다.
이러한 사실이 더욱 문제시되는 것은 듀오가 민감한 정보를 과도하게 수집하고 보관해왔다는 점이다. 정회원 가입 시 법령상 요구되지 않는 주민등록번호까지 수집한 사실이 드러났으며, 보유 기간이 지난 29만8,566건의 개인정보를 파기하지 않고 장기간 보관한 것으로 조사되었다. 보안 관리 또한 허술하여 데이터베이스에 접근할 때 인증 실패 횟수에 제한이 없어 무차별 대입 공격에 취약했고, 비밀번호와 주민등록번호에 적용된 암호화 방식이 안전성이 떨어지는 것으로 나타났다. 기본적인 접근 통제와 암호화 조치가 제대로 작동하지 않은 셈이다.
듀오는 유출 사실을 인지하고도 정당한 사유 없이 72시간 동안 신고를 지연했으며, 피해 회원에게 즉시 통지하지 않아 2차 피해 방지 조치에도 소홀했던 것으로 확인되었다. 개인정보보호위원회는 듀오가 유출 사실을 즉각적으로 회원에게 알리고, 홈페이지에 처분 내용을 공표할 것을 명령하였다. 또한, 최소한의 정보만 수집하도록 체계를 개선하고, 보유 기간이 지난 개인정보는 지체 없이 파기하는 관리 기준을 마련할 것을 요구하였다.
듀오 측은 개인정보보호위원회의 판단을 존중하며 회원 개인정보 유출에 대해 사과의 뜻을 전하였으나, 현재까지 유출로 인한 2차 피해는 확인되지 않았다고 덧붙였다. 한편, 개인정보보호위원회는 다른 사례로 콜센터 용역업체 케이에스한국고용정보가 4만여 명의 인사서류를 유출한 사건에 대해 35억3,700만 원의 과징금과 420만 원의 과태료를 부과하였으며, 묘지 임대·관리 업체 금릉공원묘원은 5,373명의 개인정보 유출로 5,420만 원의 과징금을 부과받은 사례도 있다.
결혼정보회사 듀오의 개인정보 유출 사건은 단순한 해킹 사건을 넘어 사용자 개인정보 보호의 중요성을 다시금 일깨우는 계기가 되고 있다. 기업의 개인정보 관리 및 보안 시스템의 강화가 시급하게 요구되는 시점이다.
[관련기사] https://n.news.naver.com/mnews/article/469/0000927130?sid=102
답글 남기기