[프라임경제] 결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 신장·체중·학력·자산 등 민감한 프로필 정보가 대거 유출된 것으로 나타났다. 듀오뿐 아니라 콜센터 아웃소싱 업체 KS한국고용정보와 금릉공원묘원도 개인정보가 유출돼 과징금을 물게 됐다.
개인정보보호위원회(이하 개인정보위)는 지난 22일 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 47억8820만원의 과징금과 1740만원의 과태료를 부과했다고 23일 밝혔다.
이들 사업자는 모두 개인정보처리시스템에 대한 안전조치를 소홀히 해 개인정보가 유출됐고, 법적 근거없이 주민등록번호를 처리했다.
해커는 지난해 1월 인터넷망에 접속한 듀오정보 직원 업무용PC에 악성코드를 감염시켜 전체 정회원 42만7464명의 개인정보를 내려받아 외부로 유출했다.
유출된 개인정보에는 △아이디 △비밀번호(암호화) △이름 △생년월일 △주민등록번호(암호화) △성별 △휴대폰번호 △본인주소 △신장 △체중 △혈액형 △종교 △취미 △혼인경력 △학교명 △전공 △직장명 등 민감한 정보가 포함됐다.
조사 결과, 듀오는 정회원의 개인정보가 저장돼 있는 회원 데이터베이스(DB)에 접속하는 경우 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않은 것으로 나타났다. 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반이 확인됐다.
아울러 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했다. 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않은 사실도 드러났다.
듀오는 유출을 확인했음에도 정당한 사유 없이 72시간을 경과해 유출신고를 지연한 것으로 확인됐다.
결혼중개회사의 특성상 구혼자의 기본적인 개인정보뿐만 아니라 학력, 종교 등 한 사람의 삶과 성향이 담긴 다량의 민감한 정보를 수집하고 있으며, 해당정보가 유출됐음에도 유출사실을 정보주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀했다고 개인정보위는 판단했다.
이에 개인정보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다. 또 개인정보가 유출된 회원에게 즉각 유출 사실을 통지하라고 명령했다.
KS한국고용정보는 해커가 KS한국고용의 관리자 계정 정보를 탈취해 시스템에 침입하면서 상담사와 직원, 입사지원자 등 4만875명의 개인정보가 외부로 유출됐다. 유출된 정보에는 △이름 △주민등록번호 △휴대전화번호 △주소 △이메일 △계좌번호 등이 포함됐다.
해커는 여기에 그치지 않고 웹페이지의 취약점을 이용해 서버에 저장된 인사서류 파일 약 5만건을 추가로 내려받았다.
KS한국고용정보는 시스템 접속 권한을 IP 등으로 제한하지 않았고, 별도의 인증 절차 없이 아이디와 비밀번호만으로 외부 접근이 가능하도록 운영하는 등 보안 조치가 미흡한 것으로 드러났다.
이에 개인정보위는 KS한국고용정보에 과징금 35억3700만원과 과태료 420만원을 부과했다. 아울러 접속기록 및 개인정보 다운로드 상황 주기적 점검과 개인정보 파기 기준 마련 등 개선 조치를 명령했다.
금릉공원묘원은 웹사이트 내 관리비 조회·납부 페이지의 '파라미터 변조' 취약점을 악용한 해킹으로 이용자 5373명의 개인정보가 유출됐다.
금릉공원묘원은 해당 취약점에 대한 점검과 보완 조치를 소홀히 했다. 개인정보 전송 시 암호화 통신을 적용하지 않고 주민등록번호를 평문으로 저장하는 등 기본적인 보호조치 의무를 위반한 것으로 드러났다.
이에 개인정보위는 금릉공원묘원에 대해 과징금 5420만원 부과와 함께 시정명령 및 공표 명령을 의결했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기