듀오, 43만명 신체조건·결혼이력까지 다 털렸는데…1년 넘게 '침묵'

듀오. 자료사진 홈페이지 캡처

국내 대표 결혼정보업체 듀오에서 전체 회원 40여만 명 규모의 민감한 개인 정보가 외부로 빠져나간 사실이 확인됐다. 회원들의 신체 조건부터 혼인 이력, 직장과 학력까지 포함된 개인정보가 대거 유출됐지만 고지조차 하지 않았다.

23일 개인정보보호위원회에 따르면 주식회사 듀오정보(듀오)는 지난해 1월 내부 직원의 업무용 PC가 해킹되면서 정회원 42만7천464명의 개인정보가 외부로 유출됐다. 해커가 이 PC에 악성코를 감염시켜 데이터베이스(DB) 서버 계정 정보를 탈취, 서버에 접속해 정보를 내려받아 외부로 유출하는 방식이었다.

유출된 항목은 최소 24개가 넘는 것으로 알려졌다. 아이디와 비밀번호를 비롯해 이름, 생년월일, 주민등록번호, 성별, 이메일, 휴대전화번호, 주소 등이 포함됐다.

여기에 신장과 체중, 혈액형, 종교, 취미, 혼인 경력, 형제 관계, 장남·장녀 여부 등 개인의 신상 정보는 물론 학교명과 전공, 입학 및 졸업 연도, 직장명과 입사 시기 등 상세 이력까지 담겼던 것으로 확인됐다.

결혼중개업 특성상 수집되는 정보의 범위가 넓다는 점도 피해 규모를 키운 요인으로 지목됐다. 개인정보위는 회원 가입 과정에서 확보되는 정보가 방대하고 다양하기 때문에 유출될 경우 피해 범위 역시 클 수밖에 없다고 설명했다. 실제로 듀오는 기본 정보 외에도 개별 동의를 통해 다양한 추가 정보를 수집해온 것으로 파악됐다.

듀오의 개인정보 처리방침에 따르면 '국내결혼중개 표준약관' 등에 근거해 본관, 주거 유형과 소유 여부, 자가용 보유 여부, 가족 소유 부동산, 안경 착용 여부, 병역 사항, 직업과 성격, 외모, 경제력, 시부모 동거 여부, 건강 상태 등 매우 민감한 정보까지 수집 대상에 포함돼 있다. 이 같은 항목까지 유출됐을 가능성이 제기되면서 피해 우려가 더욱 커지고 있다.

조사 결과 듀오는 기본적인 보안 조치도 제대로 마련하지 않았던 것으로 드러났다. 해커가 데이터베이스에 접속할 경우 일정 횟수 이상 인증에 실패하면 접근을 제한하는 기능이 설정돼 있지 않았고, 주민등록번호와 비밀번호에도 안전성이 떨어지는 암호화 방식을 적용한 것으로 파악됐다.

개인정보 수집과 보관 과정에서도 문제점이 확인됐다. 듀오는 정회원 가입 과정에서 별도의 법적 근거 없이 주민등록번호를 수집·저장했으며, 자체적으로 정한 보유기간 5년이 지난 회원 정보 29만8천566건도 파기하지 않고 유지해온 것으로 나타났다.

듀오는 정보 유출 사실을 인지하고도 정당한 사유 없이 72시간이 지나서야 당국에 신고한 것으로 확인됐다. 심지어 피해 회원들에게 유출 사실을 별도로 알리지 않아 2차 피해 방지 조치에도 소홀했다.

개인정보위는 이 같은 위반 사항을 근거로 듀오에 과징금 11억9천700만원과 과태료 1천320만원을 부과했다. 동시에 개인정보가 유출된 회원들에게 관련 사실을 즉시 통지하도록 명령했다.

아울러 재발 방지를 위해 보안 조치 강화를 비롯해 최소한의 정보만 수집하는 방식으로 개인정보 처리 체계를 전면 점검하고, 명확한 파기 기준을 마련할 것을 요구했다. 처분 내용은 회사 홈페이지에 공표하도록 했다.

개인정보위는 "결혼중개회사의 특성상 구혼자의 기본적인 개인정보뿐만 아니라 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량의 민감한 정보를 수집하고 있으며, 해당 정보가 유출되었음에도 유출 사실을 정보 주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인됐다"고 했다.