유출 확인 후 신고 지연·이용자 통지 미실시…2차 피해 우려 확산
해킹당한 듀오, 회원정보 유출에 공식 사과
[메가경제=주영래 기자] 개인정보보호위원회가 듀오정보에 대규모 개인정보 유출 사고와 관련해 과징금 11억9700만원과 과태료 1320만원을 부과했다. 이에 듀오정보는 공식 사과문을 게시하고 재발 방지 대책을 내놓으며 후속 대응에 나섰다.
고도의 민감 정보를 다루는 결혼정보업 특성상, 이번 사안은 개인정보 보호와 내부 통제의 중요성을 다시 한번 부각시키고 있다.
 |
| ▲ 듀오가 개인정보 유출과 관련해 사과문을 공지했다. [사진=듀오 홈페이지] |
조사 결과, 해커는 2025년 1월 듀오정보 직원의 업무용 PC를 악성코드에 감염시킨 뒤 데이터베이스(DB) 서버 계정 정보를 확보했다. 이후 회원 DB 서버에 접속해 전체 정회원 데이터를 외부로 유출한 것으로 확인됐다. 내부 단말 보안과 서버 접근 통제 체계가 동시에 취약했던 셈이다.
특히 회사는 회원 DB 접속 시 일정 횟수 이상 인증에 실패할 경우 접근을 차단하는 계정 보호 조치를 적용하지 않았다. 또 주민등록번호와 비밀번호에 상대적으로 안전성이 낮은 암호화 알고리즘을 사용한 것으로 나타났다. 이는 개인정보 보호법상 안전성 확보조치 의무를 위반한 사례로 판단됐다.
법적 근거 없이 주민등록번호를 수집·보관한 점도 문제로 지적됐다. 아울러 개인정보처리방침에 명시한 보유기간 5년이 지난 정회원 정보 29만8566건을 파기하지 않고 보관해온 사실도 확인됐다. 최소 수집·최소 보유 원칙을 준수하지 못한 것이다.
사고 이후 대응 역시 미흡했다. 듀오정보는 유출 사실을 인지하고도 법정 신고 기한인 72시간을 넘겨 신고했으며, 정보주체에 대한 개별 유출 통지도 즉시 이행하지 않았다. 개인정보 유출 시 신속한 통지와 피해 최소화 조치가 핵심이라는 점에서, 사후 대응 체계에도 상당한 허점이 드러났다는 지적이다.
이에 개인정보위는 듀오정보에 정보주체 대상 즉각적인 유출 통지를 명령했다. 아울러 재발 방지를 위한 보안 조치 강화, 서비스 제공에 필요한 최소 범위 내 개인정보 수집 체계 정비, 명확한 파기 기준 수립 등 전반적인 개인정보 관리 체계 개선을 요구했다. 처분 사실을 자사 홈페이지에 공표하라는 명령도 함께 내렸다.
듀오정보는 제재 발표 직후 홈페이지에 공식 사과문을 게시했다. 회사는 “회원들의 신뢰에 부응하지 못해 깊이 사과드린다”며 개인정보 유출로 인한 우려와 불편에 대해 사과했다. 또 유출 사실 인지 직후 한국인터넷진흥원 및 수사기관에 신고하고 추가 유출 방지를 위한 기술적 조치를 완료했다고 설명했다.
회사 측은 사고 발생 이후 홈페이지 공지와 전담 콜센터 운영을 통해 피해 접수 체계를 마련했으며, 현재까지 확인된 2차 피해 사례는 없다고 밝혔다. 또한 개인정보위 조사 과정에서 지적된 사항에 대한 시정 조치를 이행했으며, 법적 근거 없이 보관해왔던 주민등록번호는 결혼중개업법에 따른 보관 의무 종료 후 모두 삭제했다고 강조했다.
듀오정보는 “사고 이후 개인정보 보호 관리 시스템을 전면 재점검하고 내부 임직원 교육을 강화하고 있다”며 “동일한 사고가 재발하지 않도록 보안 체계를 한층 강화해 나가겠다”고 밝혔다. 아울러 개인정보보호위원회의 공식 결과 통지문을 수령하는 즉시 유출 대상자에게 개별 통지를 실시할 계획이라고 덧붙였다.
시장에서는 이번 제재가 단순한 행정처분을 넘어 개인정보를 핵심 자산으로 보유한 플랫폼·서비스 기업 전반에 경고 메시지를 던진 것으로 보고 있다. 특히 신원, 학력, 직장, 종교, 혼인 이력 등 고도의 민감 정보를 다루는 업종일수록 보안 투자와 내부 통제, 사고 대응 역량이 기업 경쟁력과 브랜드 신뢰를 좌우한다는 평가다.
업계 관계자는 “개인정보 보호는 이제 규제 준수 차원을 넘어 기업의 핵심 경영 과제”라며 “이번 사례는 사전 예방 체계와 사고 발생 이후의 신속하고 투명한 대응이 얼마나 중요한지를 보여준다”고 말했다.
[저작권자ⓒ 메가경제. 무단전재-재배포 금지]
