개인정보위, 듀오 등 안전조치 의무 위반 3개 사업자 제재

[디지털투데이 황치규 기자]개인정보보호위원회는 22일 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 47억8820만원 과징금 및 1740만원 과태료를 부과하고, 시정조치 및 공표 명령을 의결했다.

이번에 처벌을 받은 사업자는 KS한국고용정보, 듀오정보, 금릉공원묘원으로 이들 사업자는 모두 개인정보처리시스템에 대한 안전조치를 소홀해 개인정보 유출 사고를 겪었고 법적 근거없이 주민등록번호를 처리했다.

개인정보위에 따르면 해커가 KS한국고용정보 개인정보처리시스템 관리자 계정정보를 획득한 후 2025년 4월 15일 관리자 페이지에 접속해 상담사, 본사직원 및 입사지원자(교육생) 등 4만875명 개인정보를 내려받아 유출했다.

유출된 정보는 KS한국고용 상담사·직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인 정보뿐만 아니라 가족 개인정보도 다수 포함됐다.

이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도했다. 조사 결과, KS한국고용은 개인정보처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능도 운영하면서 접속 권한을 IP 등으로 제한하지 않았고, 안전한 접속수단 또는 인증수단을 적용하지 않아 아이디·비밀번호 만으로 외부에서 제한 없이 접속이 가능했던 사실이 확인됐다.

개인정보위는 KS한국고용에 과징금 35억 3700만원, 과태료 420만원을 부과하고, 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황 주기적 점검, 개인정보 파기에 관한 지침을 수립·운영할 것을 명령했다.

결혼정보회사 듀오정보는 전체 정회원 개인정보가 유출된 해킹 사고 관련해 과징금 11억9700만 원, 과태료 1320만원을 부과 받았다.

해커는 2025년 1월 인터넷망에 접속한 듀오정보 직원 업무용PC에 악성코드를 감염시켰고, DB서버 계정 정보 확보 후 회원 데이터베이스(DB) 서버에 접속해 전체 정회원 42만7464명 개인정보를 내려받아 외부로 유출했다.

조사 결과, 듀오정보는 정회원 개인정보가 저장되어 있는 회원DB에 접속하는 경우, 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반이 확인됐다.

또 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했고 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않은 사실도 확인됐다.

듀오정보는 유출을 확인하였음에도 정당한 사유 없이 72시간을 경과하여 유출신고를 지연했고 결혼중개회사 특성상 구혼자 기본적인 개인정보뿐만 아니라 학력, 종교, 직장 등 한 사람의 삶과 성향이 담긴 다량 민감한 정보를 수집하고 있으며, 해당정보가 유출되었음에도 유출사실을 정보주체에게 현재까지도 통지하지 않는 등 2차 피해 방지 대응에 소홀한 것이 확인됐다.

금릉공원묘원은 웹사이트 내 관리비 조회/납부 페이지에 존재하는 파라미터 변조 취약점을 악용한 해커 공격으로 이용자 5373명 개인정보(이름, 주민등록번호, 휴대전화번호)가 유출되는 사고를 겪었다.

조사 결과 금릉공원묘원은 웹사이트 내 존재하는 파라미터 변조 취약점에 대한 점검·조치를 소홀히했고 인터넷망으로 개인정보 전송 시 암호화 통신 미적용, 주민등록번호 평문 보관 등 보호조치 의무를 위반한 것으로 확인됐다.

개인정보위는 금릉공원묘원에게 과징금 5420만원을 부과하고, 유출사고가 재발하지 않도록 개인정보처리시스템에 대한 취약점 점검, 암호화 등 개인정보 안전관리 체계를 강화할 것을 시정 명령했다.