접근제한 조치 등 미흡
케이에스한국고용정보 및 금릉공원묘원도 제재

[보안뉴스 강현주 기자] 결혼 중개회사 듀오정보가 회원 42만7464명의 개인정보 유출로 11억9700만원의 과징금과 1329만원의 과태료를 부과 받았다.

개인정보보호위원회(위원장 송경희)는 22일 열린 제7회 전체회의에서 이 같이 의결했다. 이 날 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 47억8820만 원의 과징금 및 1740만 원의 과태료를 부과하고 시정조치 및 공표를 명령했다.


[출처: 연합]

지난해 1월 공격자는 인터넷망에 접속한 듀오정보 직원(개인정보취급자) 업무용PC에 악성코드를 감염시켰다. 데이터베이스 서버 계정 정보 확보 후 접속해 전체 정회원 42만7464명의 개인정보를 내려받아 외부로 유출했다.

유출된 정보는 아이디, 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화), 성별, 이메일주소, 휴대폰번호, 본인주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제관계, 학교명, 전공, 입학년도, 졸업년도, 학교소재지, 입사년월, 직장명 등이다.

조사 결과 듀오정보는 정회원의 개인정보가 저장된 회원DB에 접속하는 경우, 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반이 확인됐다.

또 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않은 사실도 확인했다.

듀오정보는 유출을 확인했음에도 정당한 사유 없이 72시간을 경과해 유출신고를 지연했다. 결혼 중개회사의 특성상 구혼자의 기본적인 개인정보뿐만 아니라 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량의 민감한 정보를 수집하고 있으며, 해당정보가 유출되었음에도 유출사실을 정보주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인됐다.

이에 따라 개인정보위는 듀오정보에 과징금과 과태료를 부과했다. 이어 개별 정보주체에게 유출통지를 즉각 실시할 것과 유출사고 재발 방지를 위한 안전조치 강화, 서비스 제공에 필요 최소한의 정보를 수집하도록 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 명령했다. 또 처분받은 사실을 운영 중인 홈페이지에 공표하도록 했다.

개인정보위는 이 외에도 케이에스한국고용정보에게도 과징금 35억3700만 원과 과태료 420만원 부과, 시정명령과 공표명령을 내렸다.

케이에스한국고용정보의 개인정보처리시스템 관리자 페이지를 통해 상담사, 본사직원 및 입사지원자(교육생) 등 4만875명의 개인정보가 유출됐다.

개인정보위는 금릉공원묘원에도 과징금 5420만원을 부과하고 시정명령과 공표명령을 내렸다.

공격자는 금릉공원묘원이 운영하는 웹사이트 내 관리비 조회 및 납부 페이지에 존재하는 파라미터 변조 취약점을 악용해 이용자 5373명의 개인정보(이름, 주민등록번호, 휴대전화번호)를 유출했다.

주민등록번호는 법령에 명시적 근거가 있는 경우에만 제한적으로 수집·이용이 가능하도록 규정하고 있다. 그러나 과거의 수집 관행에 따라 주민등록번호를 계속 수집하거나 사업자 편의에 따라 수집 허용 시점 이전부터 일괄적으로 주민등록번호를 수집하고 있는 사례가 자주 발생하고 있다.

이에 따라 개인정보위는 사업자들이 주민등록번호를 처리하는 경우 적법한 처리 근거가 있는지, 암호화 저장 등 안전조치를 적절히 이행하고 있는지에 대한 체계적인 점검을 당부하였다.

개인정보위 관계자는 “사업자가 서비스 제공에 필요 최소한의 개인정보만을 수집·이용하는 환경 조성을 위해 정보주체로부터 대량의 민감한 정보를 수집하는 처리자를 대상으로 개인정보 처리방침 평가, 기획점검 등을 실시한다”며 “개인정보 수집·이용 적절성 및 정보주체의 권리 보호 수준을 평가하고 개선해 나갈 방침”이라고 밝혔다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>