국내 1위 결혼정보업체 '듀오'에서 회원 43만여 명의 개인정보가 대거 유출되는 사고가 발생해 정부가 12억 원대에 달하는 과징금을 부과했다. 이번 유출은 단순한 계정 정보를 넘어 체중, 혼인 경력 등 민감한 신상 정보는 물론 계좌 잔고와 부동산 보유 내역 등 구체적인 자산 정보까지 포함된 것으로 드러나 파장이 일파만파 커지고 있다.

개인정보보호위원회 조사 결과, 해커는 지난해 1월 듀오 직원의 업무용 PC를 악성코드에 감염시켜 데이터베이스(DB) 서버 계정 정보를 탈취한 뒤 정회원 42만 7464명의 정보를 내려받았다. 유출된 정보에는 이름과 생년월일 외에도 키, 몸무게, 혈액형 등 신체 정보와 종교, 학교명, 직장명 등 한 개인의 프로필이 통째로 담겼다. 특히 회원들이 인증을 위해 제출한 원천징수 내역과 자산 증빙 자료까지 탈취당하면서 2차 피해 우려가 확산하고 있다.

보안 관리의 총체적 부실이 피해를 키웠다는 지적이다. 듀오는 DB 접속 시 인증 실패 횟수 제한 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전성이 낮은 암호화 알고리즘을 적용하는 등 기본적인 안전 조치 의무를 위반한 것으로 확인됐다. 또한 법적 근거 없이 주민등록번호를 수집해 보관해왔으며, 보관 기간이 지났거나 탈퇴한 회원 29만여 명의 정보를 파기하지 않고 보유해온 사실도 드러났다.

사고 이후 대응 방식도 도마 위에 올랐다. 듀오는 유출 사실을 인지하고도 정당한 사유 없이 72시간을 넘겨 신고를 지연했으며, 정보 주체인 회원들에게 유출 사실을 제때 통지하지 않는 등 피해 방지 조치에 소홀했다는 비판을 받고 있다. 뒤늦게 홈페이지에 사과문을 게재했으나, 민감 정보를 다루는 기업으로서 무책임한 처사라는 비난이 쏟아지고 있다.

개인정보위는 이번 사고와 관련해 듀오에 과징금 11억 9700만 원과 과태료 1320만 원을 부과하기로 의결했다. 민감한 정보를 취급하는 업계 전반의 안일한 관리 관행을 뿌리 뽑기 위해 강력한 제재와 별도의 보안 대책 마련이 시급하다는 목소리가 힘을 얻고 있다.

이번 유출 사고는 결혼정보업체와 같이 고도의 민감 정보를 수집하는 기업의 보안 취약성을 여실히 보여준 사례로 남게 됐다. 정부는 이번 조사를 계기로 유사 업계의 개인정보 관리 실태를 면밀히 점검하고 추가적인 피해 방지를 위한 대책 수립에 나설 방침이다.