시민사회
듀오, 43만 명 프로필 유출에 늑장 대응…과징금 12억 철퇴
국내 대표적인 결혼정보회사 듀오에서 43만 명에 육박하는 정회원들의 내밀한 개인정보가 대거 빠져나가는 대형 보안 사고가 발생했다. 유출된 데이터에는 단순한 인적 사항을 넘어 개인의 신체적 특징과 사회적 지위, 가족 관계 등 극도로 민감한 정보들이 포함되어 있어 파장이 일파만파 커지고 있다. 주무 부처인 개인정보보호위원회는 해당 업체의 허술한 보안 관리와 늑장 대응을 강도 높게 질타하며 중징계를 내렸다.사건의 발단은 지난해 1월 듀오 내부에서 고객 데이터를 다루는 직원의 업무용 컴퓨터가 외부 해킹 공격에 뚫리면서 시작되었다. 이로 인해 무려 42만 7천여 명에 달하는 정회원들의 방대한 프로필 정보가 고스란히 해커의 손에 넘어갔다. 유출된 항목을 살펴보면 주민등록번호와 연락처는 기본이고, 키와 몸무게, 혈액형과 같은 신체 정보부터 학력, 직장명, 혼인 이력, 심지어 종교와 취미까지 사실상 한 개인을 완전히 특정할 수 있는 모든 신상 정보가 망라되어 있다.
정부 조사 결과, 듀오 측의 데이터베이스 보안 시스템은 매우 취약했던 것으로 드러났다. 외부 접근 시 비밀번호 입력 오류 횟수를 제한하는 가장 기본적인 차단 조치조차 마련되어 있지 않아 해커의 무차별적인 침입에 속수무책으로 당했다. 더욱 심각한 것은 고객의 주민등록번호나 비밀번호와 같은 핵심 정보를 저장하면서 안전성이 검증되지 않은 낡은 암호화 방식을 사용해 법적으로 규정된 안전조치 의무를 정면으로 위반했다는 점이다.
불법적인 정보 수집과 파기 규정 위반 사실도 추가로 적발되었다. 현행법상 결혼중개업체가 고객의 주민등록번호를 수집할 수 있는 명확한 법적 근거가 없음에도 불구하고, 듀오는 가입 단계에서 이를 무단으로 수집해 온 것으로 확인됐다. 또한, 자체적으로 정한 개인정보 보유 기간인 5년이 훌쩍 지난 약 30만 건의 과거 회원 정보 역시 파기하지 않고 그대로 보관하다가 유출 피해를 키우는 원인을 제공했다.
사고 발생 이후의 대처 과정에서도 심각한 문제점이 노출되었다. 듀오는 대규모 정보 유출 사실을 인지하고도 법정 신고 기한인 72시간을 넘겨 늑장 신고를 한 것으로 밝혀졌다. 특히 결혼정보업체의 특성상 고객의 가치관과 재산 상태 등 치명적인 정보가 포함되어 있음에도 불구하고, 피해 당사자들에게 즉각적으로 상황을 알리지 않아 2차 피해를 예방할 수 있는 골든타임을 놓쳤다는 비판을 피하기 어렵게 되었다.
이에 따라 개인정보보호위원회는 듀오에 대해 약 12억 원에 달하는 무거운 과징금과 과태료 처분을 내리고, 피해를 입은 모든 회원에게 유출 사실을 즉각 통보할 것을 강제 명령했다. 아울러 근본적인 재발 방지를 위해 보안 시스템의 전면적인 개편과 최소한의 정보만을 수집하도록 업무 방식을 개선할 것을 지시했다. 듀오 측은 정부의 처분을 수용하며 사과의 뜻을 밝혔으나, 이미 엎질러진 물을 주워 담기에는 고객들의 신뢰가 바닥에 떨어진 상태다.
