25일 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면 일부 정회원은 부동산·현금 보유액 등 재산 관련 증빙자료를 회사에 제출했고, 해당 정보 역시 이번 해킹으로 외부에 유출된 것으로 파악됐다.
결혼중개업 특성상 신장·체중·종교·혼인경력·직장 등 개인의 사생활 전반을 포괄하는 정보가 포함돼, 이번 사고는 일반 개인정보 유출보다 민감성과 파급력이 훨씬 크다는 평가다.
사고는 해커가 직원 PC를 통해 내부 DB 서버에 접근하면서 발생했다. 악성코드 감염으로 계정 정보를 확보한 뒤 서버에 접속해 회원 정보를 내려받는 방식이었다.
특히 듀오는 정부가 권고한 안전한 암호 알고리즘 기준을 지키지 않은 것으로 드러났다. 개인정보보호위원회는 주민등록번호 등 주요 정보의 암호화 수준이 낮아 법적 기준을 충족하지 못했다고 판단했다.
또 접속 인증 실패 횟수 제한 미설정, 원격 접속 관리 미흡 등 기본적인 보안 통제도 제대로 이뤄지지 않은 것으로 조사됐다.
사고 이후 대응 역시 문제로 지적됐다.
듀오는 유출 사실을 인지하고도 법정 기한(72시간)을 넘겨 약 4일 뒤에야 신고한 것으로 나타났다. 개별 이용자 통지도 이뤄지지 않고 홈페이지 공지에 그친 점도 도마에 올랐다.
여기에 더해 법적 근거 없는 주민등록번호 수집, 보유기간(5년)이 지난 정보 약 29만건 미파기 등 개인정보 관리 전반에서 위반 사항이 확인됐다. 탈퇴 회원과 보관기간이 지난 회원 정보까지 유출되며 피해 규모를 키웠다.
◇개보위, 과징금 11.97억 부과…“매출 기준 산정 한계”
개인정보보호위원회는 전체회의를 통해 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다.
다만 결혼정보회사 특성상 정보 민감도가 매우 높음에도, 과징금 산정 기준이 매출 중심이다 보니 제재 수준이 제한적이라는 지적이 나온다.
개보위 관계자는 “사안의 중대성은 크지만 현행 기준상 매출액을 반영해 과징금이 산정됐다”고 설명했다.
이번 사태를 계기로 단순 가입자 규모가 아닌 ‘민감정보 보유 여부’를 기준으로 한 규제 체계가 필요하다는 목소리가 커지고 있다.
보안 전문가들은 결혼중개·채용 서비스처럼 고도의 개인정보를 다루는 업종에 대해 별도의 강화된 보호 기준이 필요하다고 지적한다.
개인정보보호위원회 역시 향후 결혼중개업 등을 대상으로 한 기획 점검 확대, 개인정보 처리 적정성 평가 강화, ISMS(정보보호관리체계) 의무화 확대 검토 등 제도 개선에 나설 방침이다.
최민희 위원장은 “민감정보를 다루는 기업이 기본적인 보안 가이드라인조차 지키지 않았다”며 “개인정보를 수익 창출 수단으로만 본 무책임한 행태”라고 비판했다.
이어 “침해사고가 언론을 통해 먼저 알려지는 관행도 개선해야 한다”며 “민감정보를 수집하는 기업에 대해선 별도의 강력한 규제가 필요하다”고 강조했다.
