결혼정보회사 1위 업체인 ‘듀오정보(듀오)’에서 회원 43만명에 대한 개인정보가 유출됐다. 

개인정보보호위원회는 지난 22일 전체 회의를 열고 개인정보보호법규를 위반한 듀오에 과징금 11억9700만원과 과태료 1320만원 등을 부과하기로 의결했다고 23일 밝혔다.

유출된 개인정보에는 아이디, 비밀번호, 학력·직장·혼인경력(초혼·재혼)·전화번호 등도 담겼다. 이번 유출은 외부 해킹과 안전조치 미흡 때문에 벌어졌다. 

지난해 1월 개인정보를 취급하는 직원이 업무용 PC로 악성 코드에 감염된 웹사이트를 방문해 자료를 다운 받으면서 악성코드에 감염됐다. 이후 해커가 해당 PC를 원격 조정해 회원 데이터베이스(DB)에 접속해 정보를 빼돌렸다. 듀오 전체 정회원인 42만7464명의 정보가 모두 유출됐다.

개인정보위가 듀오에서 유출된 것으로 확인한 개인정보 종류는 최소 24개가 넘는다. 아이디와 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일주소, 휴대전화 번호, 본인 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제 관계, 장남·장녀 여부, 출신학교, 전공, 입학 연도, 졸업 연도, 학교 소재지, 입사 연월, 직장명 등이다.

 듀오가 개별 동의를 받고 회원에게서 선택적으로 수집한 정보도 유출됐다.  주거유형, 소유 여부, 자가용 유무, 본인 및 가족 소유 부동산, 안경 착용 여부, 성격, 외모, 시부모 동거, 건강 상태 등 민감한 정보가 많다. 

듀오의 보안 관리는 허술했다. DB 접속 시 인증 실패 횟수 제한이 없어 무차별 대입 공격에 취약했고, 비밀번호와 주민등록번호에는 안전성이 낮은 암호화 방식이 사용됐다. 

또 듀오와 서비스 계약이 종료돼 파기해야 했던 29만8566명의 개인정보도 보관하다 유출됐다. 듀오는 유출 시점으로부터 5일이 지나 개인정보위에 유출 사실을 신고했다. 개인정보법은 유출 확인 72시간 이내에 신고하도록 돼 있다.