[서울=뉴시스] 신효령 기자 = 보안 관리를 소홀히 해 개인정보를 유출한 결혼정보업체 듀오정보(이하 듀오), 콜센터 아웃소싱 업체 KS한국고용정보 등 3개 사업자가 거액의 과징금을 물게 됐다. 특히 듀오는 회원 민감정보 유출 사실을 통지하지 않아 정부로부터 즉각 통지 명령을 받았다.

개인정보보호위원회는 전날 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 듀오, KS한국고용정보, 금릉공원묘원에 총 47억8820만원의 과징금과 1740만원의 과태료 부과를 의결했다고 23일 밝혔다.

이들 사업자는 모두 개인정보처리시스템에 대한 안전조치를 소홀히 해 개인정보를 유출하고, 법적 근거 없이 주민등록번호를 처리한 것으로 드러났다.

◆듀오, 42만명 민감 정보 유출하고도 늑장 대응…과징금 11억

개인정보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다. 아울러 개인정보 보호법 제34조제1항에 따른 유출 사실을 정보주체에게 즉시 통지하도록 명령했다.

또 재발 방지를 위해 안전조치 강화와 함께 최소한의 개인정보만 수집하도록 처리 방식을 점검하고, 명확한 파기 기준을 마련할 것을 요구했다. 처분 사실은 자사 홈페이지에 공표하도록 했다.

개인정보위 조사 결과, 해커는 지난해 1월 인터넷망에 접속한 듀오 직원의 업무용 PC를 악성코드에 감염시킨 뒤, DB 서버 계정 정보를 탈취해 회원 데이터베이스(DB)에 침입했다. 이후 정회원 42만7464명의 개인정보를 내려받아 외부로 유출했다.

유출된 정보에는 아이디와 비밀번호(암호화)를 비롯해 이름, 생년월일, 주민등록번호(암호화), 연락처, 주소 등 기본 정보가 담겼다. 뿐만 아니라 키, 몸무게, 혈액형 등 신체 정보부터 종교, 혼인경력, 학교명, 직장명 등 한 개인의 삶이 담긴 민감한 정보가 포함됐다.

조사 결과 듀오는 회원 DB 접속시 일정 횟수 이상 인증 실패에 따른 접근 제한 조치를 설정하지 않았다. 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전조치 의무를 위반한 것으로 확인됐다.

정회원 가입 과정에서 별도의 법적 근거 없이 주민등록번호를 수집·저장했으며, 개인정보처리방침에 명시된 보유기간(5년)이 지난 회원 정보 29만8566건을 파기하지 않은 사실도 드러났다. 또한 유출 사실을 인지하고도 정당한 사유 없이 72시간을 넘겨 신고를 지연했다. 정보주체에게 유출 사실을 통지하지 않는 등 2차 피해 방지 조치에도 소홀했던 것으로 나타났다.

◆KS한국고용정보, 4만명 개인정보 유출…과징금 35억

개인정보위는 KS한국고용정보에 과징금 35억3700만원과 과태료 420만원을 부과했다. 아울러 접속기록 및 개인정보 다운로드 상황 주기적 점검과 개인정보 파기 기준 마련 등 개선 조치를 명령했다.

개인정보위 조사 결과, 해커가 KS한국고용의 관리자 계정 정보를 탈취해 시스템에 침입하면서 상담사, 직원, 입사지원자 등 4만875명의 개인정보가 외부로 유출됐다. 유출된 정보에는 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등이 포함됐다.

해커는 여기에 그치지 않고 웹페이지의 취약점을 이용해 서버에 저장된 인사서류 파일 약 5만건을 추가로 내려받았다. 해당 서류에는 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등이 포함돼 있었으며, 개인뿐 아니라 가족의 개인정보까지 함께 유출된 것으로 확인됐다.

이후 해커는 확보한 정보를 다크웹에 게시하고 데이터베이스 거래를 시도한 것으로 조사됐다. 사고 원인은 기본적인 보안 조치 미흡이었다. KS한국고용은 시스템 접속 권한을 IP 등으로 제한하지 않았고, 별도의 인증 절차 없이 아이디와 비밀번호만으로 외부 접근이 가능하도록 운영해온 것으로 드러났다.

또 인사서류에 포함된 주민등록번호를 암호화하거나 마스킹하지 않은 채 저장하는 등 안전조치 의무를 다수 위반했다. 이와 함께 입사지원 단계에서 법적 근거 없이 주민등록번호를 수집·처리한 사실과, 보유기간이 지난 퇴사자 및 교육생 2035명의 개인정보를 파기하지 않은 점도 확인됐다.


◆금릉공원묘원, 보안 취약점 방치해 5000명 정보 유출…과징금 5420만원

개인정보위는 묘지 임대 및 관리 서비스를 제공하는 금릉공원묘원에 대해 과징금 5420만원 부과와 함께 시정명령 및 공표 명령을 의결했다고 밝혔다.

금릉공원묘원의 개인정보 유출은 웹사이트 내 관리비 조회·납부 페이지의 '파라미터 변조' 취약점을 악용한 해킹으로 발생했다. 해커는 입력값을 조작하는 방식으로 이용자 5373명의 이름과 주민등록번호, 휴대전화번호 등을 탈취한 것으로 확인됐다.

금릉공원묘원은 해당 취약점에 대한 점검과 보완 조치를 소홀히 했으며, 개인정보 전송시 암호화 통신을 적용하지 않고 주민등록번호를 평문으로 저장하는 등 기본적인 보호조치 의무를 위반한 것으로 드러났다. 또 별도의 법적 근거 없이 이용자의 주민등록번호를 신원 확인 목적으로 관행적으로 수집해 온 사실도 확인됐다.

개인정보위는 재발 방지를 위해 취약점 점검과 암호화 적용 등 개인정보 보호 체계를 전반적으로 강화할 것을 명령하고, 처분 사실을 자사 홈페이지에 공표하도록 했다.

◆"주민번호 수집 관행 버려야"…개인정보위, 법정주의 준수 당부

개인정보위는 이번 처분을 통해 2014년 8월부터 시행된 '주민등록번호 수집 법정주의' 준수를 강조했다. 법령에 명시적 근거가 있는 경우에만 제한적으로 주민등록번호를 처리해야 함에도 불구하고, 여전히 많은 사업자가 과거의 수집 관행을 버리지 못하고 있다는 판단에서다. 이에 따라 개인정보위는 사업자들이 주민등록번호를 처리하는 경우 적법한 처리 근거를 갖췄는지, 암호화 저장 등 안전조치를 제대로 이행하고 있는지에 대한 체계적인 점검을 당부했다.

또한 개인정보위는 서비스 제공에 꼭 필요한 '최소한의 개인정보'만 수집하는 환경 조성에 힘쓸 예정이다. 특히 결혼중개나 채용 서비스처럼 대량의 민감 정보를 다루는 사업자를 대상으로 개인정보 처리방침 평가, 기획 점검 등을 진행한다. 이를 통해 정보 수집의 적절성과 정보주체의 권리 보호 수준을 평가하고 미흡한 부분을 개선해 나갈 계획이다.


◎공감언론 뉴시스 snow@newsis.com