'듀오' 회원 43만명 민감 정보 유출 과징금 12억…체중·혼인 경력·학력·직장까지

▲개인정보보호위원회 (사진제공=개인정보보호위원회)

결혼 정보 회사인 주식회사 듀오정보(듀오)에서 회원 43만여 명의 주민등록번호, 휴대전화 번호, 비밀번호를 비롯해 신체 조건, 혼인 경력, 직업, 학력, 직장 등 민감한 프로필 정보가 대거 유출된 것으로 나타났다.

23일 개인정보보호위원회에 따르면, 듀오정보는 이 같은 유출 사실을 확인하고도 정당한 사유 없이 유출 신고를 72시간 넘게 지연했다. 이에 개인정보위는 과징금 11억9700만원, 과태료 1320만원을 부과하고 개별 정보 주체에게 개인정보 보호법 제34조제1항에 따른 유출 통지를 즉각 실시할 것을 명령했다.

듀오정보는 구혼자의 기본적인 개인 정보뿐만 아니라 신장, 체중, 혈액형, 종교, 취미, 혼인 경력, 형제 관계, 장남·장녀 여부, 학교명, 전공, 입학 연도, 졸업 연도, 학교 소재지, 입사 연월, 직장명 등 한 사람의 삶과 성향이 담긴 다량의 민감한 정보를 수집했다.

듀오정보는 정회원의 개인정보가 저장되어 있는 회원 DB에 접속하는 경우 일정 횟수 이상 인증 실패 시 접근 제한 등의 조치를 설정하지 않았다. 또한, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보 조치 의무 위반이 확인됐다.

정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했고, 개인정보 처리 방침에 기재한 보유 기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않았다. 특히 민감 정보가 대량으로 유출되었음에도 유출 사실을 정보 주체에게 통지하지 않는 등 2차 피해 방지 대응에도 소홀했다.

이에 개인정보위는 유출 사고 재발 방지를 위한 안전 조치 강화, 서비스 제공에 필요한 최소한의 정보를 수집하도록 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 명령했으며 처분받은 사실을 운영 중인 홈페이지에 공표하도록 했다.

이 외에도 개인정보위는 상담사, 본사 직원 및 입사 지원자(교육생) 등 4만875명의 개인정보와 직원들이 입사·재직 중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등의 인사 서류 파일 5만건이 해킹된 케이에스한국고용정보에 과징금 35억3700만원, 과태료 420만원을 부과했다. 이용자 5373명의 개인정보가 유출된 금릉공원묘원에는 과징금 5420만원의 조치를 내렸다.