개인정보해킹 | 듀오 43만명 ‘인생 프로필’ 유출…기업 책임 리스크 구조 바뀌나

또한 계약 종료 후 파기되어야 할 약 30만 건의 정보가 보관 상태로 남아 있었고 이 역시 함께 유출되었습니다.

결혼정보업은 서비스 특성상 회원 간 매칭을 위해 다양한 정보를 수집합니다.

일반적인 온라인 서비스와 달리 신원 확인을 넘어서 개인의 생활환경과 가치관까지 포함된 정보가 활용되고 있습니다.

개인정보보호법 제29조는 개인정보처리자가 개인정보의 유출을 방지하기 위해 기술적·관리적 보호조치를 취할 것을 규정하고 있습니다.

여기에는 접근권한 관리, 인증 절차 설정, 암호화 조치 등이 포함됩니다.

이번 사건에서는 로그인 인증 실패 횟수 제한이 설정되어 있지 않았고 데이터베이스 접근 통제 역시 미흡했던 것으로 확인되었습니다.

또한 비밀번호 및 주민등록번호에 적용된 암호화 수준 역시 충분하지 않았던 것으로 나타났습니다.

개인정보보호법 제34조는 개인정보가 유출된 경우 기업이 정보주체에게 이를 통지하고 일정 기준 이상일 경우 72시간 이내 감독기관에 신고하도록 규정하고 있습니다.

그러나 이번 사건에서는 유출 사실을 인지한 이후에도 정해진 기간 내 신고가 이루어지지 않았으며 정보주체에 대한 통지도 지연된 것으로 확인되었습니다.

개인정보보호법 제24조의2는 주민등록번호의 수집 및 처리를 원칙적으로 금지하고 있으며 법령상 명시적인 근거가 있는 경우에만 예외적으로 허용합니다.

결혼중개업의 경우 주민등록번호 수집에 대한 명확한 법적 근거가 없음에도 불구하고 해당 정보를 수집·보관한 점이 문제로 지적되었습니다.

이는 보유기간 설정 여부와 관계없이 실제 파기 절차가 이행되지 않은 경우 해당 데이터 전체가 법적 리스크로 전환될 수 있음을 보여줍니다.

초기에는 과징금 및 과태료와 같은 행정 제재가 부과되지만 이후 손해배상 청구로 이어지는 경우가 일반적이며 여기에 기업 이미지 훼손과 고객 이탈이 결합되면서 실질적인 손실 규모는 더욱 확대됩니다.

특히 이번 사건과 같이 민감정보 및 프로파일 데이터가 포함된 경우에는 2단계 이후 리스크가 빠르게 확대될 가능성이 있습니다.

또한 유출 사실 통지 지연이나 내부 관리 체계 미흡이 확인될 경우 과징금 수준뿐 아니라 민사상 책임 범위에도 영향을 미칠 수 있습니다.

결과적으로 개인정보해킹 사건은 행정·민사·사업 리스크가 연쇄적으로 발생하는 구조로 이해할 필요가 있습니다.

개인정보해킹 사건은 발생 이후 대응보다 사전적인 관리 체계 구축 여부에 따라 기업의 책임 범위가 달라지는 특징을 가집니다.

또한 유출 발생 시에는 행정 제재, 손해배상, 평판 리스크가 동시에 발생할 수 있어 종합적인 법률 검토가 요구됩니다.

법무법인 대륜은 개인정보보호, 데이터 컴플라이언스, 기업 분쟁 대응 경험을 바탕으로 기업의 개인정보 처리 구조 전반에 대한 실질적인 법률 자문을 제공합니다.