결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 신체조건, 혼인경력, 직업, 학력, 자산 등 민감한 프로필 정보가 대거 유출된 것으로 드러난 23일 서울 강남구 역삼동에 있는 듀오 본사에 간판이 보인다.연합뉴스

결혼정보회사 1위 업체인 ‘듀오정보(듀오)’에서 회원 43만명의 민감한 개인정보가 대거 유출돼 당국이 제재에 나섰다. 아이디, 비밀번호와 같은 단순 계정정보가 아니라 학력ㆍ직장ㆍ혼인경력(초혼ㆍ재혼)ㆍ전화번호 등 민감한 정보도 통째로 유출됐다.

개인정보보호위원회는 지난 22일 전체회의를 열고 개인정보보호법규를 위반한 듀오에 과징금 11억9700만원과 과태료 1320만원 등을 부과하기로 의결했다고 23일 밝혔다.

조사 결과 이번 유출은 외부 해킹에 더해 내부적으로 미흡한 안전조치 탓에 벌어진 것으로 파악됐다. 지난해 1월 개인정보를 취급하는 직원이 업무용 PC로 악성 코드에 감염된 웹사이트를 방문해 자료를 다운 받으면서 악성코드에 감염됐고, 해커가 해당 PC를 원격 조정하게 된 것으로 나타났다. 해커는 회원 데이터베이스(DB)에 접속해 정보를 빼돌렸다. 이에 따라 듀오 전체 정회원인 42만7464명의 정보가 통째로 유출됐다.

유출된 정보는 단순 계정 정보 수준을 넘어선다. 일반 쇼핑몰과 달리 회원의 민감한 정보를 다수 보유하고 있는 결혼정보업체의 특성 탓이다. 개인정보위가 듀오에서 유출된 것으로 확인한 개인정보 종류는 최소 24개가 넘는다. 아이디와 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일주소, 휴대전화 번호, 본인 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제 관계, 장남ㆍ장녀 여부, 출신학교, 전공, 입학 연도, 졸업 연도, 학교 소재지, 입사 연월, 직장명 등이다. 개인정보위 관계자는 “DB가 통째로 유출됐기 때문에, 듀오가 DB에 명기한 정보는 전부 유출된 것으로 보면 된다”고 말했다.

듀오가 개별 동의를 받고 회원에게서 선택적으로 수집한 정보도 많다. 듀오의 ‘개인정보 처리방침’을 보면 이 업체가 ‘국내결혼중개 표준약관’ 등에 따라 회원에게서 수집하는 정보로는 본관, 주거유형, 소유 여부, 자가용 유무, 본인 및 가족 소유 부동산, 안경 착용 여부, 병역, 직업, 성격, 외모, 경제력, 시부모 동거, 건강 상태 등 민감한 정보가 많다.

23일 서울 강남구 역삼동에 있는 듀오 본사에 부서안내 간판이 보인다. 연합뉴스

하지만 보안 관리는 허술했다. DB 접속 시 인증 실패 횟수 제한이 없어 무차별 대입 공격에 취약했고, 비밀번호와 주민등록번호에는 안전성이 낮은 암호화 방식이 사용됐다. 특히 정회원 가입 시 현행 법령상 요구할 근거가 없는 주민등록번호까지 수집한 뒤 유출한 사실이 드러났다. 또 듀오와 서비스 계약이 종료돼 파기해야 했던 29만8566건의 개인정보도 그대로 보관하다 유출한 것으로 조사됐다.

듀오는 유출 시점으로부터 5일이 지나서야 개인정보위에 유출사실을 신고했다. 법에서는 72시간 이내에 신고하도록 규정하고 있다. 또 당시 온라인 홈페이지에 유출 사실을 공지했을 뿐, 피해 회원에게 개별적으로 알리지 않았던 것으로 나타났다.

이에 따라 개인정보위는 듀오에 유출 사실을 회원에게 즉각 알리고 홈페이지에 처분 내용을 공표하라고 명령했다. 아울러 최소한의 정보만 수집하도록 체계를 개선하고, 보유 기간이 지난 개인정보는 지체 없이 파기하는 관리 기준을 마련할 것을 요구했다. 듀오 측은 “개인정보위의 판단을 존중하고 회원의 개인정보가 유출돼 죄송하다”며 “현재까지 유출로 인한 2차 피해는 확인되지 않았다”고 밝혔다.