[일요시사 취재2팀] 김준혁 기자 = 혼인경력이나 신체 조건 같은 사적인 정보가 해킹으로 유출될 경우 이를 악용한 2차 피해 우려도 커질 수밖에 없다. 이런 가운데 결혼중개서비스 업체 듀오정보(이하 듀오)에서 회원 43만여명의 개인정보가 유출된 것으로 드러났다.
23일 개인정보보호위원회에 따르면 듀오는 지난해 1월 개인정보 취급 직원의 업무용 PC가 해킹당하면서 전체 정회원 42만7464명의 개인정보가 외부로 유출됐다. 이에 따라 개인정보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다.
유출된 정보엔 아이디와 암호화된 비밀번호를 비롯해 이름, 생년월일, 주민등록번호(암호화), 성별, 이메일 주소, 전화번호, 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제관계, 장남·장녀 여부, 학교명, 전공, 입학 연도, 졸업 연도, 입사 연월, 직장명 등이 포함됐다.
조사 결과 듀오는 회원 데이터베이스(DB) 접속 과정에서 일정 횟수 이상 인증 실패 시 접근을 제한하는 조치를 하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보 의무를 위반한 것으로 확인됐다.
이와 함께 별도 법적 근거 없이 구혼자의 주민등록번호를 수집·저장했으며, 보유기간 5년이 경과한 정회원 29만8566건의 정보를 파기하지 않은 사실도 드러났다.
듀오는 정당한 사유 없이 72시간을 넘겨 유출 신고를 지연했고, 정보주체에게 해당 사실을 통지하지 않는 등 2차 피해 방지 대응에도 소홀했던 것으로 조사됐다.
개인정보위는 “개인정보보호법 제34조 제1항에 따라 개별 정보주체에게 유출 사실을 즉각 통지하도록 하고, 재발 방지를 위한 안전조치 강화, 개인정보 처리 방식 점검 및 명확한 파기 지침 수립 등을 명령했다”며 “또 처분사실을 홈페이지에 공표하도록 했다”고 밝혔다.
법조계에선 이번 사안이 형사책임으로 이어질 가능성은 높지 않다는 해석이 나온다.
현행 개인정보보호법상 이번 발표에 적시된 위반 내용이 벌칙 조항과 직접 맞물린다고 보긴 어려운 데다, 영리 목적의 유출이나 고의보다는 보호조치 미흡에 따른 과실 책임 성격이 강하다는 이유에서다. 개인정보위도 형사고발 방침을 별도로 밝히지는 않았다.
다만 일각에선 혼인경력과 신체조건 등 민감한 정보가 다수 포함된 만큼, 향후 피해 회원들을 중심으로 집단소송 등 공동 대응 움직임이 나타날 가능성이 있지 않겠느냐는 관측도 제기된다.
개인정보보호법 제39조의2에 따르면 정보주체는 개인정보처리자의 고의 또는 과실로 개인정보가 유출·위조·변조 또는 훼손된 경우 300만원 이하 범위에서 법정손해배상을 청구할 수 있다. 이때 개인정보처리자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다.
유사 사례도 있다. 지난해 통신사들의 유심 정보 유출 사태 당시에도 피해자들 사이에서 공동 대응 움직임이 빠르게 확산했다. 일부 이용자들이 정신적 손해와 후속 피해 우려를 이유로 손해배상 청구 참여 의사를 밝히자, 온라인상에선 집단소송 준비 카페가 개설돼 회원 수가 단기간에 크게 늘기도 했다.
<kj4579@ilyosisa.co.kr>
