종교·몸무게·혼인이력까지 다 털렸다...듀오, 회원 43만명 정보 통째 유출

[파이낸셜뉴스] 결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 주민등록번호부터 신체조건, 학력, 직업, 종교 등 개인의 정체성과 생활 이력이 집약된 민감 정보가 한 번에 털린 것으로 나타났다.

개인정보보호위원회는 유출사실을 알고도 신고를 늦춘 듀오에 과징금과 과태료를 부과하고 피해를 본 회원에 개인정보 유출 사실을 즉각 통지하라고 명령했다.

23일 개인정보보호위원회에 따르면 지난해 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당해 정회원 42만7464명의 개인정보가 외부로 유출됐다.

유출된 정보는 아이디와 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 휴대폰번호, 주소, 신장, 체중, 혈액형, 혼인경력, 종교와 취미, 입학년도와 졸업년도, 직장 등 사실상 개인의 '전 생애 정보'가 모두 털렸다.

개인정보위 조사 결과, 듀오는 이같은 개인정보가 저장되어 있는 회원DB에 접속하는 경우 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무를 위반한 사실이 확인됐다.

또 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했고, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않았다.

특히 듀오는 유출을 확인하고도 72시간을 넘겨 신고했고, 유출사실을 피해자에게 현재까지도 통지하지 않은 것으로 나타났다.

개인정보위는 듀오에 과징금 11억 9700만 원, 과태료 1320만 원을 부과하고, 유출사고 재발 방지를 위한 안전조치 강화, 서비스 제공에 필요 최소한의 정보를 수집하도록 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 명령했다.

이정은 개인정보위 조사조정국 조사2과 과장은 "결혼중개업법상 국내 결혼을 중개하는 사업장이 주민등록번호를 수집할 수 있다는 명시적 근거가 없는데도 듀오가 회원 가입 시 주민등록번호를 받았고 유출한 사실이 확인됐다"며 "듀오는 조사 과정에서 법 위반 사실을 인지하고 현재 회원 가입 시 주민등록번호 대신 생년월일만 받는 것으로 시정했다"고 말했다.

yjjoe@fnnews.com 조윤주 기자