[서울타임즈뉴스 = 서연옥 기자] 결혼정보업체 듀오 회원 수십만명의 개인정보가 유출된 사건과 관련해 경찰 수사가 이어지고 있다. 사고 발생 이후 1년여가 지나서야 유출 사실이 외부에 알려지면서 보안 관리와 사후 대응 전반에 대한 점검 필요성이 커지고 있다.

24일 서울경찰청 사이버수사대에 따르면 이 사건은 지난해 2월 서울 강남경찰서에 접수된 뒤 이관돼 현재까지 조사 중이다. 개인정보보호위원회 조사 결과 듀오 정회원 42만7464명의 정보가 외부로 유출된 것으로 확인됐다.

유출된 정보는 이름과 생년월일, 연락처, 주소 등 기본 식별정보뿐 아니라 신장·체중·혈액형, 종교, 혼인경력, 학력, 직장 등 개인의 성향과 이력 전반을 포함한다. 결혼정보 서비스 특성상 이용자의 신상과 가치관이 함께 축적된 데이터라는 점에서 민감도가 높은 사례로 꼽힌다.

회원 정보 유출 사고는 지난해 1월 말 개인정보를 취급하던 직원의 업무용 PC가 해킹되면서 발생한 것으로 파악됐다. 해커는 내부 시스템을 통해 회원 데이터베이스(DB)에 접근한 뒤 정보를 외부로 유출한 것으로 조사됐다. 경찰 관계자는 “현재 유출 경로와 추가 피해 여부를 계속 확인하고 있다”고 말했다.

사고 이후 대응 과정도 논란이 됐다. 듀오는 유출 사실을 인지하고도 법정 신고 기한인 72시간을 넘겨 관계 당국에 신고한 것으로 확인됐다. 이용자 대상 통지 역시 늦어지면서 초기 대응이 적절했는지를 두고 비판이 이어지고 있다. 온라인 커뮤니티에서는 개인정보 노출에 따른 불안감을 호소하는 반응도 나타나고 있다.

보안 관리 체계의 기본 요소가 미흡했다는 점도 드러났다. 로그인 인증 실패 횟수 제한 등 접근 통제 장치가 충분히 마련되지 않았고, 주민등록번호와 비밀번호에 취약한 암호화 방식이 적용된 것으로 조사됐다. 이와 함께 법적 근거 없이 주민등록번호를 수집·보관하고, 보유기간이 지난 개인정보 약 29만건을 파기하지 않은 사실도 확인됐다.

개인정보보호위원회는 이러한 위반 사항을 근거로 과징금 11억9700만원과 과태료 1320만원을 부과했다. 아울러 최소한의 정보 수집 원칙을 적용하고, 보유기간이 지난 정보의 즉시 파기 등 관리체계를 전면적으로 정비할 것을 요구했다.

듀오 측은 관련 처분을 수용하고 보안 시스템을 점검하겠다는 입장을 밝혔다. 정보업계 한 관계자는 "이번 듀오 사건은 민감정보를 다루는 서비스에서 개인정보 보호 수준이 신뢰와 직결된다는 점을 보여주면서, 유사 업종 전반의 관리 체계를 재점검하는 계기가 될 것으로 보인다"고 말했다.