DB 접근제한 미설정 관리 소홀
개인정보위, 과징금 등 12억 부과
결혼정보회사 듀오정보에서 43만명에 달하는 회원의 아이디와 비밀번호(암호화) 등이 유출된 것으로 나타났다. 해커가 업무용 PC에 악성코드를 감염시켜 회원 데이터베이스(DB)를 빼간 것으로 확인됐다.
23일 개인정보보호위원회에 따르면 지난해 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당해 정회원 42만7464명의 개인정보가 외부로 유출됐다.
듀오에서 유출된 것으로 확인한 개인정보 종류는 아이디와 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화)는 물론 본인 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력(초혼·재혼), 형제관계, 장남·장녀 여부, 학교명, 전공, 입학연도, 졸업연도, 학교 소재지, 입사연월, 직장명 등 민감한 정보다.
듀오정보는 정회원의 개인정보가 저장된 회원 DB에 접속할 때 일정 횟수 이상 인증 실패시 접근제한 등의 조치를 설정하지 않았다. 주민등록번호와 비밀번호에도 안전하지 않은 암호화 알고리즘을 적용해 안전성 확보조치 의무를 위반했다.
또 정회원 가입시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며 개인정보처리방침에 기재한 보유기간(5년)이 경과한 정회원 정보 29만8566건을 파기하지 않았다. 듀오정보는 정보유출을 확인하고도 정당한 사유 없이 72시간을 넘겨 유출신고를 지연했다.
아울러 결혼정보업체 특성상 구혼자의 기본적인 개인정보와 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량의 민감정보를 수집하고 정보가 유출됐음에도 불구하고 현재까지도 유출 사실을 정보 주체에게 통지하지 않아 2차 피해 방지에도 소홀했다.
이에 개인정보위는 듀오정보에 과징금 11억9700만원, 과태료 1320만원을 부과했다. 또 개별 정보 주체에게 개인정보보호법 제34조 제1항에 따른 유출통지를 즉각 실시하고 유출사고 재발방지를 위한 안전조치 강화를 요구했다.
이와 함께 서비스 제공에 필요한 최소한의 정보를 수집하도록 개인정보 처리방식 점검 및 명확한 파기지침 수립 등 개인정보 보호 및 관리체계 강화를 명령하고 처분받은 사실을 홈페이지에 공표하도록 했다.
