듀오, 40만 구혼자 정보 통째로 털렸다…피해 통보도 안 해

개인정보보호위원회 7회 전체회의서 과징금 등 의결

듀오정보, 정회원 학력·종교·체중 등 통째로 유출
유출 신고 지연하고 피해 통보도 안 해…과징금 12억
KS한국고용 5만명 인사 파일 유출…가족 정보도 털려

자료사진

결혼중개회사 '듀오정보'가 해커에 의한 악성코드 감염으로 정회원 40만 명의 개인정보가 유출돼 과징금 약 12억 원을 부과받았다. 듀오정보는 개인정보에 대한 안전 확보 조치 의무를 위반한 데다, 유출 사실을 피해자들에게 현재까지도 통보하지 않은 것으로 나타났다.

이와 함께 ㈜케이에스한국고용정보(KS한국고용)와 (재)금릉공원묘원도 줄줄이 이용자 정보를 유출해 과징금을 부과받았다.

정회원 전체 학력·종교·체중 등 '민감 정보' 유출돼

23일 개인정보보호위원회에 따르면, 위원회는 전날 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 47억 8820만 원의 과징금 및 1740만 원의 과태료를 부과하고, 시정조치 및 공표 명령을 의결했다.

이 중 듀오정보는 지난해 1월 해커에 의한 업무용PC가 악성코드 감염으로 전체 정회원 42만 7464명의 개인정보가 외부로 유출됐다. 이 중에는 구혼자의 학력과 종교, 직장, 체중 등 민감한 정보가 포함됐다.

조사 결과, 듀오정보는 정회원의 개인정보가 저장돼 있는 회원DB에 접속할 때 일정 횟수 이상 인증 실패 시 접근을 제한하는 등의 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반이 확인됐다.

또 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만 8566건을 파기하지 않은 것으로 조사됐다.

듀오정보는 정보 유출을 확인했음에도 정당한 사유 없이 72시간을 경과해 유출신고를 지연했다. 또 정보가 유출됐음에도 현재까지도 유출 사실을 정보주체에게 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것으로 나타났다.

이에 따라 개인정보위는 듀오정보에 과징금 11억 9700만 원, 과태료 1320만 원을 부과했다. 또 정보주체에게 유출 통지를 즉각 실시할 것과 유출사고 재발 방지를 위한 안전조치 강화, 개인정보 처리 방식 점검 및 파기 지침 수립 등 관리 체계 강화를 명령했다.

KS한국고용·금릉공원묘원도 줄줄이 개인정보 유출돼

개인정보보호위원회 제공

KS한국고용은 지난해 4월 해커에 의해 상담사 및 본사 직원, 입사지원자 등 4만 875명의 개인정보를 유출한 것으로 조사됐다.

구체적으로 해커는 서버 내 각종 인사서류 파일 약 5만 건을 내려받아 유출했다. 해당 서류는 KS한국고용의 상담사·직원의 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인 정보뿐만 아니라 가족의 개인정보가 다수 포함됐다.

이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인됐다.

조사 결과, KS한국고용은 해당 처리시스템으로 일반 인사관리 기능과 콜센터운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않은 것으로 조사됐다. 또 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호 만으로 외부에서 제한 없이 접속이 가능했다.

이 외에도, 인사증빙서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치의무를 다수 위반했다.

또 입사지원자가 최종 합격해 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리했다. 보유기간이 경과한 퇴사자 및 교육생 2035명의 개인정보를 파기하지 않은 사실도 확인됐다.

이에 따라 개인정보위는 KS한국고용에 과징금 35억 3700만 원, 과태료 420만 원을 부과하고, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령하고, 처분 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

이와 함께 금릉공원묘원도 이용자 5373명의 개인정보를 유출했다.

해커는 해당 재단이 운영하는 웹사이트 내 관리비 조회·납부 페이지의 취약점을 악용해 개인정보를 유출한 것으로 조사됐다.

조사 결과, 재단은 웹사이트 내 존재하는 파라미터 변조 취약점에 대한 점검 조치를 소홀히 했고, 인터넷망으로 개인정보 전송 시 암호화 통신 미적용, 주민등록번호 평문 보관 등 보호조치 의무를 위반한 것으로 조사됐다.

또 별도 법적 근거 없이 이용자의 주민등록번호를 신원 확인 목적으로 관성적으로 수집해 온 사실도 확인됐다.

이에 개인정보위는 과징금 5420만 원을 부과하고, 안전 관리 체계 강화 등을 시정명령했다.

개인정보위 관계자는 "결혼중개, 채용 서비스 등 정보주체로부터 대량의 민감한 정보를 수집하는 처리자를 대상으로 개인정보 처리방침 평가, 기획점검 등을 통해 정보주체의 권리 보호 수준을 평가하고 개선할 방침"이라고 밝혔다.