국내 대표 결혼정보업체인 ‘듀오(듀오정보)’에서 지난해 해킹으로 회원 42만여명의 개인정보가 유출됐다는 조사결과가 나왔다. 고객센터 운영 전문 업체인 KS한국고용정보(KS한국고용)에서는 직원·교육생 등 4만여명의 정보가 유출됐고 인사서류 파일이 무더기로 다크웹에 올라가기도 했다.

개인정보보호위원회는 22일 전체회의에서 KS한국고용·듀오정보·금릉공원묘원 등 개인정보보호법 위반 사업자 3곳에 대해 총 47억8820만원의 과징금과 1740만원의 과태료를 부과하고 시정조치 및 공표 명령을 의결했다고 23일 밝혔다.

◆듀오 과징금 11억여원 = 개인정보위에 따르면 듀오는 지난해 1월 해커에 의해 직원 업무용PC가 악성코드에 감염돼 데이터베이스(CB)서버 계정정보를 탈취당했다. 해커는 DB서버에 접속해 전체 정회원 42만7464명의 개인정보를 내려받아 외부로 유출했다.

유출된 정보에는 이름·아이디·생년월일·성별·이메일주소·연락처·주소를 비롯해 신장 체중 혈액형 종교 취미 혼인경력 형제관계 학교명 전공 입학 졸업년도 학교 직장명 입사일 등 내밀한 사항이 다량 포함됐다. 비밀번호와 주민등록번호는 암호화된 상태로 유출됐다는 설명이다.

듀오는 회원DB 접속 인증 실패시 접근을 제한하는 등의 조치를 설정하지 않고, 주민번호·비밀번호 암호화 알고리즘은 안전하지 않았던 것으로 조사됐다. 또 정회원 가입 시 주민번호를 별도의 법적 근거 없이 수집·저장했으며, 개인정보처리방침에 기재한 보유기간인 5년이 경과된 정회원 정보 29만8566건을 파기하지 않은 사실도 확인됐다.

개인정보위는 듀오가 정보유출 당시 법정 신고시한인 72시간이 지나 신고를 했고 다량의 민감한 정보가 유출됐음에도 현재까지 피해회원들에게 개별통지를 하지 않은 것으로 확인됐다고 밝혔다.

개인정보위는 듀오에 과징금 11억9700만원, 과태료 1320만원을 부과하고 △개별 회원 유출통지 즉각 실시 △개인정보 안전조치 및 관리체계 강화 △처분 사실 홈페이지 공표 등을 명령했다.

◆KS한국고용, 직원가족 정보도 털려 = KS한국고용은 지난해 4월 해커게 의해 상담사, 본사 직원 및 입사지원자(교육생) 등 4만875명의 이름·주민번호·연락처·계좌번호 등의 개인정보가 유출됐다.

해커는 이어서 서버 내 각종 인사서류 파일 약 5만 건도 내려받아 유출했다. KS한국고용의 상담사·직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본을 비롯해 가족의 개인정보가 포함된 가족관계 증명서도 들어 있었다.

이후 해커는 이들 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인됐다.

조사결과 KS한국고용은 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 아이피(IP) 등으로 제한하지 않았고, 안전한 접속수단 또는 인증수단 없이 아이디·비밀번호 만으로 외부에서 무제한 접속 가능하게 한 것으로 확인됐다. 인사증빙 서류 내 주민등록번호는 가리거나 암호화 하지 않고 저장했다.

또 입사지원자가 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리하는가 하면, 보유기간이 경과한 퇴사자 및 교육생 2035명의 개인정보를 파기하지 않은 사실도 확인됐다.

개인정보위는 KS한국고용에 과징금 35억3700만원, 과태료 420만원을 부과하고, 후속조치 및 홈페이지 공표를 명령했다.

개인정보위는 이 회사의 과징금이 위반행위가 발생한 시스템이 이용된 상담용역 서비스 매출액을 기준으로 산정됐다고 설명했다.

한편 묘지 임대·관리업체인 금릉공원묘원의 경우 웹사이트 내 관리비 조회·납부 페이지의 취약점을 악용한 해커가 5373명의 이름·주민번호·연락처를 유출했다. 이 업체는 취약점에 대한 점검조치를 소홀히 했고 개인정보 전송시 암호화 통신 미적용, 주민번호 평문 보관 등이 확인돼 과징금 5420만원과 시정 및 공표 명령을 받았다.

개인정보위는 “2014년 8월 주민등록번호 수집 법정주의 시행 후 주민번호는 법령의 명시적 근거가 있는 경우에만 제한적으로 수집·이용이 가능하다”며 적법한 처리와 점검을 당부했다.

이재걸 기자 claritas@naeil.com