국내 최대 결혼정보회사에서 충격적인 사고가 발생했습니다.

해커가 인터넷망에 연결된 직원 업무용 PC를 악성코드에 감염시킨 뒤 DB 서버 계정정보를 확보해 전체 정회원 42만 7,464명의 개인정보를 외부로 유출했습니다.

유출된 정보의 목록을 보면 단순한 연락처 유출이 아니었습니다.

아이디, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일 주소, 휴대전화번호, 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제 관계, 장남・장녀 여부, 학교명, 전공, 입학 연도, 졸업 연도, 직장까지 한 사람의 삶 전체가 담긴 민감한 정보들이었습니다.

그런데 이 사건에는 단순한 해킹 피해를 넘어서는 더 심각한 문제가 있었습니다.

유출된 43만 명 중 상당수는 애초에 데이터베이스에 존재해서는 안 되는 정보였습니다.

사건의 전말 - 해킹보다 더 큰 문제

- 사고 경위

개인정보위원회 조사 결과 회원 DB에 접속 시 일정 횟수 이상 인증 실패 시 접근을 제한하는 조치를 설정하지 않았으며, 주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무를 위반한 것으로 확인됐습니다.

기본적인 접근 통제조차 갖춰지지 않은 상태에서 해커는 손쉽게 내부 시스템에 침투했고, 전체 정회원의 데이터를 그대로 탈취해 갔습니다.

-  해킹보다 더 충격적인 사실 - 파기했어야 할 정보 30만 건

보안 허점으로 인한 해킹 자체도 심각한 문제입니다. 그러나 이번 사건에서 가장 주목해야 할 부분은 따로 있습니다.

개인정보처리방침에 따라 보유기간 5년이 경과된 정보는 파기해야 하지만 업체측에서는 이를 실행하지 않았습니다.

파기하지 않고 방치한 정회원 정보는 무려 29만 8,566건에 달했습니다.

유출된 전체 정회원 수 43만명 중 약 30만 건은 보유기간이 이미 지나 당연히 파기됐어야 할 정보였습니다.

전체 피해의 약 70%가 파기 의무만 이행했다면 처음부터 데이터베이스에 존재하지 않았을 정보였다는 뜻입니다.

해킹을 막지 못한 것은 보안의 실패입니다. 그러나 파기하지 않은 것은 더 큰 보안의 실패입니다.

이 두 가지 실패가 겹치면서 피해가 걷잡을 수 없이 커졌습니다.

- 사고 이후 대응도 문제

사고 자체도 심각했지만 이후 대응은 더욱 충격적이었습니다.

해당 업체는 해킹을 확인한 뒤 정당한 사유 없이 72시간 가량 신고를 지연했으며, 유출 사실을 정보주체에게 통지하지 않고 있었다는 것도 이번 조사에서 나타났습니다.

43만 명이 자신의 주민등록번호, 연봉, 혼인 이력이 외부로 유출됐다는 사실을 모른 채 일상을 보내고 있었던 것입니다.

최근 가입한 30대 남성 A씨는 "당장 오늘 아침에도 매칭 관련 통화를 했는데 개인정보 유출 안내는 전혀 없었다"며 "가입 당시에도, 이후에도 관련 고지는 없었다"고 말했습니다.

- 처분 결과

개인정보보호위원회는 해당 업체에 과징금 11억 9,700만 원과 과태료 1,320만 원을 부과하고, 유출 회원에게 즉각 유출 사실을 통지하라고 명령했습니다. 또한 보안 강화, 최소 정보 수집 원칙 준수, 명확한 파기 기준 마련 등 전면적인 관리체계 개선도 함께 명령했습니다.

기업이 데이터를 쌓아두는 이유

- "언젠가 쓸 수도 있으니까"의 함정

많은 기업이 개인정보를 보유기간 이후에도 삭제하지 않는 가장 흔한 이유는 단순합니다.

"언젠가 재가입할 수도 있으니까", "마케팅에 활용할 수 있으니까", "지우는 게 번거로우니까"

데이터를 쌓아두는 것은 쉽고, 지우는 것은 귀찮습니다.

결혼정보 서비스의 특성상 한 번 이탈한 회원이 다시 돌아오는 경우도 있습니다. 기업 입장에서는 기존 데이터를 유지하는 것이 영업상 유리합니다. 그러나 이 판단이 가져오는 법적 ・보안적 리스크를 기업들은 종종 과소평가합니다.

- 파기하지 않은 데이터는 폭탄이 된다

보유기간이 지난 데이터는 더 이상 서비스에 필요한 데이터가 아닙니다.

그러나 해커에게는 여전히 가치 있는 데이터입니다. 오히려 오래된 데이터일수록 비밀번호 변경이나 보안 업데이트가 이루어지지 않아 더 취약한 상태일 수 있습니다.

이번 사건이 정확히 이 구조입니다. 보유기간이 지나 파기했어야 할 30만 건의 데이터가 DB에 그대로 남아 있었고, 해커는 서버 하나에 접속하는 것만으로 현재 회원과 과거 회원의 정보를 구분 없이 모두 탈취해 갔습니다. 파기하지 않은 30만 건이 현재 가입자까지 위험에 빠뜨리는 데 기여한 셈입니다.

- 개인정보 보호법의 파기 의무

개인정보 보호법 제21조는 명확이 말합니다.

개인정보처리자는 보유기간이 경과하거나 처리 목적이 달성된 경우 해당 개인정보를 지체 없이 파기 해야 합니다.

전자적 파일은 복원이 불가능한 방법으로 영구 삭제해야 하고, 종이 문서는 분쇄하거나 소각해야 합니다.

이것은 선택이 아닙니다.

해당 업체는 자사 개인정보처리방침에도 5년이 지난 정보는 파기한다고 명시해 두었습니다.

그러나 실제로는 이행하지 않았습니다. 방침과 실행 사이의 간극이 이번 사고의 또 다른 원인이었습니다.

파기 의무 위반의 진짜 비용

- 과징금 12억 원은 빙산의 일각

개인정보보호위원회는 해당업체에 과징금 11억 9,700만 원과 과태료 1,320만 원을 부과했습니다.

금액만 보면 적지 않습니다. 그러나 이것은 시작에 불과합니다.

대형 개인정보 유출 사건 집단소송을 맡았던 정태원 변호사는 "유출된 정보의 양과 민감도를 고려할 때 소송을 진행할 만한 가치가 충분하다"며 긍정적으로 검토 중이라고 밝혔습니다. 43만 명이 집단소송에 나설 경우 손해배상 규모는 과징금을 훨씬 초과할 수 있습니다.

만일 이번 사건이 현재 시행을 앞두고 있는 개인정보 보호법 개정안이 시행된 이후에 발생했다면 상황은 더욱 심각해 졌을 것입니다. 개정안은 반복 위반, 대규모 피해, 시정명령 불이행의 경우 매출의 최대 10%까지 징벌적 과징금을 부과할 수 있도록 하고 있습니다. 43만 명의 대규모 피해가 발생하고 파기 의무 미이행이라는 명백한 법 위반이 확인된 사건이라면 그 적용 가능성이 훨씬 높아집니다.

- 과징금보다 무서운 평판 리스크

결혼정보 서비스는 재가입 ・지인 추천 기반이 중요한 구조로, 한 번 신뢰가 무너지면 신규 유입이 급감하고 기존 회원 이탈로 이어질 가능성이 큽니다. 특히 고소득・전문직 회원일수록 개인정보 민감도가 높아 충격은 더 클 수 있습니다.

결혼정보 서비스의 핵심은 신뢰입니다.

회원들이 가장 민감한 신상정보를 믿고 맡기는 서비스에서 이 신뢰가 무너졌을 때 회복하는 데 드는 비용은 어떤 과징금보다도 클 수 있습니다.

이번 사건이 모든 기업에 보내는 경고

- 우리 회사 DB에도 파기했어야 할 데이터가 남아있지 않습니까?

이번 사례를 남의 일로 보기 어렵습니다. 탈퇴 회원의 정보, 계약이 종료된 고객의 데이터, 채용 과정에서 수집한 지원자 정보, 이벤트 응모자 명단까지. 수집 목적이 끝났음에도 삭제되지 않고 DB 어딘가에 잠들어 있는 데이터들이 있습니다.

이 데이터들은 평소에는 존재감이 없습니다.

그러나 해킹 사고가 발생하는 순간, 파기했어야 했던 모든 데이터가 한꺼번에 법적 책임으로 돌아옵니다.

- 파기는 절차이고, 절차에는 증거가 필요합니다.

개인정보를 파기했다는 사실만으로는 부족합니다. 파기했다는 것을 증명할 수 있어야 합니다.

감사나 조사가 들어왔을 때 "파기했습니다"라는 말만으로는 인정받기 어렵습니다.

파기 증적 자료란 파기 대상 목록, 파기 일시 및 방법, 담당자 서명, 파기 전 ・후 확인 기록을 포함합니다.

이 기록들이 체계적으로 관리되어야 법적 책임에서 벗어날 수 있고, 개인정보 보호법의 과징금 감경 요건도 충족할 수 있습니다.

- 단순 삭제・포맷은 파기가 아닙니다.

많은 기업이 DB에서 레코드를 삭제하거나 하드디스크를 포맷하면 파기가 완료됐다고 생각합니다. 그러나 이것은 위험한 착각입니다.

일반적인 삭제 명력이나 포맷은 데이터가 저장된 위치의 '목차'만 지우는 것과 같습니다. 전문 복구 소프트웨어를 사용하면 삭제된 데이터를 상당 부분 복원할 수 있습니다.

개인정보 보호법이 요구하는 파기는 복원이 불가능한 방법 입니다. 전자적 파일은 전용 소프트웨어로 덮어씌우거나, 물리적 저장매체의 경우 디가우징・파쇄・천공・소각 등의 방법으로 완전히 파기해야 합니다.

지금 당장 점검해야 할 것들

이번 사건을 계기로 우리 기업의 개인정보 파기 체계를 점검해야 합니다.

파기 대상 데이터 전수 파악이 먼저입니다.

현재 DB에 보관 중인 개인정보 중 보유기간이 경과한 것이 있는지 확인해야 합니다. 탈퇴 회원, 계약 종료 고객, 채용 탈락 지원자, 이벤트 응모자 등 수집 목적이 달성된 데이터를 빠짐없이 점검해야 합니다.

파기 주기와 담당자를 명확히 해야 합니다.

파기는 일회성 작업으로 끝나는 것이 아닙니다. 보유기간이 도래하는 데이터를 정기적으로 파악하고 삭제하는 체계를 갖춰야 합니다.

담당자와 주기, 방법과 증적 자료 보관까지 내규로 명문화해 둬야 합니다.

물리적 저장매체의 파기도 챙겨야 합니다.

DB데이터 뿐만 아니라 서버, PC, 노트북, 백업 테이프 외장하드 등 물리적 저장매체에 남아 있는 개인정보도 파기의 대상입니다.

장비를 교체하거나 폐기할 때 저장매체 안의 데이터까지 완전히 파기했는지 확인이 필요합니다.

단순 포맷이나 초기화만으로는 개인정보 보호법이 요구하는 파기 기준을 충족하기 어렵습니다.

존재하지 않는 데이터는 유출되지 않습니다.

이번 사건은 보안 투자만으로는 개인정보 유출을 완전히 막을 수 없다는 것을 보여줍니다.

아무리 강력한 보안 시스템을 갖추더라도, 파기했어야 할 데이터가 DB에 남아 있는 한 그 데이터는 항상 유출 위험에 노출됩니다.

가장 확실한 보안은 데이터를 존재하지 않게 하는 것입니다.

수집 목적이 달성된 개인정보는 제때 파기하는 것, 그리고 그 파기 사실을 증명할 수 있는 기록을 남기는 것

이것이 개인정보 보호의 마지막 방어선입니다.

알테크코리아는 기업의 개인정보 파기 프로세스 정비부터 물리적 저장매체의 완전 파기와 증적 자료 확보까지 함께 지원합니다.