결혼정보회사 듀오정보에서 43만명에 달하는 회원의 아이디와 비밀번호(암호화) 등이 유출된 것으로 나타났다. 해커가 업무용 PC에 악성 코드를 감염시켜 회원 데이터베이스를 빼간 것으로 확인됐다.
23일 개인정보보호위원회에 따르면 지난해 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당해 정회원 42만7464명의 개인정보가 외부로 유출됐다.
듀오에서 유출된 것으로 확인한 개인정보 종류는 아이디와 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화)는 물론 본인주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력(초혼/재혼), 형제관계, 장남/장녀 여부, 학교명, 전공, 입학년도, 졸업년도, 학교소재지, 입사년월, 직장명 등 민감주소다.
듀오정보는 정회원의 개인정보가 저장된 회원 DB에 접속할 때 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았다. 주민등록번호와 비밀번호에도 안전하지 않은 암호화 알고리즘을 적용해 안전성 확보조치 의무를 위반했다.
또 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않았다. 듀오정보는 정보 유출을 확인하고도 정당한 사유 없이 72시간을 경과해 유출신고를 지연했다.
아울러 결혼정보업체 특성상 구혼자의 기본적인 개인정보와 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량의 민감 정보를 수집하고 정보가 유출됐음에도 불구하고 현재까지도 유출사실을 정보주체에게 통지하지 않아 2차 피해 방지에도 소홀했다.
이에 개인정보위는 듀오정보에 과징금 11억9700만원, 과태료 1320만원을 부과했다. 또 개별 정보주체에게 개인정보보호법 제34조제1항에 따른 유출통지를 즉각 실시하고 유출사고 재발 방지를 위한 안전조치 강화를 요구했다.
이와 함께 서비스 제공에 필요 최소한의 정보를 수집하도록 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등 개인정보 보호 및 관리 체계 강화를 명령하고, 처분받은 사실을 홈페이지에 공표하도록 했다.
