듀오, 정회원 42만명 유출에도 통지 미이행 등 사후대응 부실
KS한국고용, 입사지원자 주민번호 무단 수집으로 35억 과징금
개보위 “관행적 주민번호 수집 엄단 및 보안 점검 체계 강화”
송경희 개인정보보호위원장이 지난 22일 서울 종로구 정부서울청사에서 열린 제7회 위원회 전체회의에서 모두발언을 하고 있다
[포인트경제] 개인정보보호위원회가 대규모 개인정보 유출 사고를 일으키고 법적 근거 없이 주민등록번호를 처리한 3개 사업자에 대해 철퇴를 내렸다. 특히 결혼정보업체 듀오와 콜센터 아웃소싱 업체인 KS한국고용정보 등은 수십만 명의 민감 정보가 유출되었음에도 안전조치가 허술했던 것으로 드러나 고액의 과징금이 부과됐다.
23일 개인정보보호위원회는 제7회 전체회의를 열고 개인정보 보호 법규를 위반한 ㈜케이에스한국고용정보, 듀오정보 주식회사, (재)금릉공원묘원에 대해 총 47억 8820만원의 과징금과 1740만원의 과태료를 부과하기로 의결했다.
가장 무거운 처분을 받은 KS한국고용정보는 해커의 공격으로 상담사와 입사지원자 등 4만875명의 개인정보가 유출되었다. 조사 결과 관리자 페이지 접속 시 IP 제한이나 추가 인증 수단 없이 아이디와 비밀번호만으로 외부 접속이 가능했으며, 주민등록번호를 암호화하지 않고 보관한 사실이 드러났다. 특히 합격 전인 입사지원자의 주민등록번호를 수집하는 등 법적 근거 없는 처리 행위도 적발되어 과징금 35억 3700만원을 부과받았다.
듀오정보 역시 해킹으로 인해 정회원 42만7464명의 방대한 개인정보가 유출됐다. 유출된 정보에는 이름과 연락처뿐만 아니라 신장, 체중, 종교, 혼인경력 등 매우 민감한 정보가 포함되었다. 듀오는 주민등록번호에 취약한 암호화 알고리즘을 사용하고, 유출 사실을 인지하고도 72시간 이내에 신고하지 않았으며 현재까지도 정보 주체에게 유출 통지를 하지 않는 등 사후 대응도 부실했던 것으로 확인되어 과징금 11억 9700만원 처분을 받았다.
사업자별 위반 및 시정조치 내역(종합) /개인정보보호위원회
금릉공원묘원은 웹사이트의 보안 취약점을 방치해 이용자 5373명의 개인정보가 유출됐다. 주민등록번호 평문 보관 등 보호조치 위반과 관행적인 주민등록번호 수집이 확인되어 과징금 5420만원이 부과되었다.
이번 조사는 주민등록번호 수집 법정주의가 시행된 지 10년이 넘었음에도 여전히 관행적으로 이를 수집하거나 보안 관리를 소홀히 하는 기업들에 강력한 경고 메시지를 던졌다는 평가다. 개인정보위는 향후 대량의 민감 정보를 다루는 사업자를 대상으로 개인정보 처리방침 평가와 기획 점검을 강화해 정보 주체의 권리 보호 수준을 높여갈 계획이다.
Copyright ⓒ 포인트경제 무단 전재 및 재배포 금지
