"키·체중 등 정보 털려"…43만명 정보 유출 듀오에 과징금 12억
KS한국고용·듀오 등 3곳 과징금 총 47.8억원
KS한국고용, 개인정보 4만명 유출 '과징금 35억원'
듀오, 키·체중·입사일도 털려…피해 즉각 통지 명령
금릉공원묘원, 5373명 정보 유출…처분 사실 공표
개인정보보호위원회가 KS한국고용정보와 듀오정보, 금릉공원묘원 등 개인정보 보호 법규를 위반한 3개 사업자에 총 47억8820만원의 과징금과 1740만원의 과태료를 부과하고, 시정 조치·공포 명령을 내렸다.
개인정보위는 전날 정부서울청사에서 제7회 전체회의를 열고 이 같은 내용을 의결했다고 23일 밝혔다. 이들 사업자는 개인정보 처리시스템 안전조치를 소홀히 하고, 법적 근거 없이 주민등록번호를 처리한 것으로 확인됐다.
KS한국고용정보에 부과한 과징금은 35억3700만원, 과태료는 420만원이다. 해커는 지난해 4월 이곳의 개인정보 처리시스템 관리자 계정으로 접속해 상담사와 본사 직원, 입사지원자 등 4만875명의 개인정보를 유출했다. 또 웹페이지 취약점을 이용해 서버 내 인사 서류 파일 5만건을 탈취했다. 해당 서류는 주민등록등본, 신분증·통장 사본, 가족관계증명서 등으로 본인뿐 아니라 가족의 개인정보가 다수 포함돼 있었다. 해커는 유출 정보를 다크웹에 게시하고 거래를 시도했다.
개인정보위 조사 결과 KS한국고용은 개인정보 처리시스템 접속 권한을 IP 등으로 제한하지 않았다. 안전한 접속·인증 수단을 적용하지 않아 아이디·비밀번호만으로 외부에서 접속이 가능했던 것이다. 인사 증빙 서류 내 주민등록번호도 마스킹 또는 암호화하지 않고 저장했다. 그뿐만 아니라 최종 합격하지 않은 입사지원자의 주민등록번호를 수집·처리하고, 보유기간이 지난 퇴사자·교육생 등 2035명의 개인정보를 파기하지 않았다.
개인정보위는 "과징금·과태료 외에 개인정보 처리시스템 접속 기록과 개인정보 다운로드 상황을 주기적으로 점검하고, 개인정보 파기 지침을 수립·운영할 것을 명령했다"며 "처분받은 사실도 운영 중인 홈페이지에 공표하도록 했다"고 말했다.
결혼 중개서비스 업체인 듀오정보에서는 정회원 42만7464명의 개인정보가 유출됐다. 해커는 지난해 1월 인터넷망에 접속한 직원 업무용 PC를 악성코드에 감염시키고, 데이터베이스(DB) 서버 계정 정보 확인 후 회원 DB 서버에 접속한 것으로 조사됐다. 유출된 개인정보에는 아이디, 이름, 생년월일 외에도 신장, 체중, 혈액형, 종교, 취미, 혼인 경력, 장남·장녀 여부, 학교명·전공, 입사일 등이 포함됐다.
개인정보위는 듀오정보가 회원 DB에 접속할 때 일정 횟수 이상 인증 실패 시 접근을 제한하는 등의 조치를 하지 않았고, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안정성 확보 조치 의무를 위반했다고 지적했다. 정회원 가입 시 주민등록번호도 별도 법적 근거 없이 수집·저장한 것으로 나타났다. 개인정보 처리 방침에 기재한 보유기간(5년)이 지난 정회원 정보도 29만8566건에 달했다.
이에 개인정보위는 듀오정보에 과징금 11억9700만원, 과태료 1320만원을 부과하고, 개별 정보 주체에게 개인정보보호법 제34조 제1항에 따른 유출 통지를 즉각 실시하도록 명령했다. 유출 사고 재발 방지를 위한 안전 조치 강화, 서비스 제공에 필요 최소한의 정보 수집 등 개인정보 보호·관리 체계도 강화하도록 지시했다. 처분 사실은 운영 중인 홈페이지에 공표토록 했다.
금릉공원묘원는 웹사이트 내 존재하는 파라미터 변조 취약점에 대한 점검·조치를 소홀히 한 것으로 드러났다. 해커는 이를 악용해 관리비 조회·납부 페이지에서 이용자 5373명의 개인정보를 유출했다. 인터넷망으로 개인정보 전송 시 암호화 통신을 적용하지 않고, 주민등록번호 평문 보관 등 보호 조치 의무도 위반한 것으로 확인됐다. 이용자 주민등록번호는 신원 확인 목적으로 별도 법적 근거 없이 수집했다.
개인정보위는 금릉공원묘원에 과징금 5420만원을 부과하고, 유출 사고가 재발하지 않도록 개인정보 처리시스템에 대한 취약점 점검, 암호화 등을 시정 명령했다. 마찬가지로 처분 사실을 홈페이지에 공표하도록 했다.
꼭 봐야 할 주요 뉴스
'발표 15분 전' 소름 돋는 타이밍 "또 미리 알았나...
개인정보위는 "사업자들이 주민등록번호를 처리하는 경우 적법한 처리 근거가 있는지, 암호화 저장 등 안전조치를 적절히 이행하고 있는지에 대한 체계적인 점검을 당부했다"며 "사업자가 서비스 제공에 필요한 최소한의 개인정보만을 수집·이용하도록 대량의 민감 정보를 수집하는 처리자 대상으로 정보 주체의 권리 보호 수준을 평가하고 개선해 나갈 것"이라고 말했다.
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
![[재테크 풍향계] "ETF도 상장폐지된다고?" 투자자는 어떻게 해야할까](https://cwcontent.asiae.co.kr/asiaresize/308/2026042215294636339_1776839386.jpg)
![[격전지 프리뷰]낙동강 벨트…'어게인 2018' 갈림길, 중도층이 변수](https://cwcontent.asiae.co.kr/asiaresize/308/2026042310383737567_1776908317.jpg)
![[기자수첩]'주택'으로 인정 못 받는 '실버주택'](https://cwcontent.asiae.co.kr/asiaresize/308/2026042310062241285A.jpg)
![[시론]정원오-오세훈 대결에 거는 기대](https://cwcontent.asiae.co.kr/asiaresize/308/2026042311322861514A.jpg)
![[초동시각]IMF가 울린 나랏빚 조기 경보](https://cwcontent.asiae.co.kr/asiaresize/308/2026042311133190300A.jpg)
