20일 더쿠 운영자는 웹사이트 공지를 통해 "사이트에 대한 해킹 공격으로 일부 정보가 유출됐음을 확인했다"며 "회원 여러분께 크나큰 피해를 입히게 된 점 진심으로 사과드린다"고 말했다.
이 운영자는 "현재 추가 공격은 들어오지 않고 있지만 지난 4~5월께 (더쿠가 운영 중인) 웹서버에 악성코드가 삽입됐던 사실을 금일 추가로 확인했다. 이로 인해 좀 더 심각한 데이터 유출이 있었을 가능성이 있다"고 설명했다.
그에 따르면 이번에 유출된 회원 데이터는 △아이디 △비밀번호 △이메일 주소 △생년월일 △비밀번호 찾기 질문·답변 등을 포함한다.
공격자가 회원들의 비밀번호를 확보하고 이를 악용할 수 있다고 짚었다. 더쿠 운영자는 "(당사는) 비밀번호를 암호화해 데이터베이스(DB)에 저장하고 있다"면서도 "공격자가 악성코드를 거쳐 웹사이트 로그인을 시도했다면 암호화되지 않은 비밀번호를 습득했을 가능성도 있다"고 했다.
운영자는 2차 피해를 막기 위해 비밀번호를 변경하라고 권장했다. 더쿠를 포함해 같은 비밀번호를 사용하는 사이트의 계정도 비밀번호 변경 대상이다. 더불어 출처가 불확실한 이메일은 열람하지 말고 즉시 삭제하라고 당부했다.
이용자 본인 인증에 활용된 주민등록번호 등 정보를 폐기하지 않아 이번 개인정보 유출 항목에 포함됐다는 지적에는 "개발자가 이번 유출 사고를 확인하는 과정에서 해당 폐기 과정 중 생년월일 폐기 과정이 누락돼 생년월일이 저장된 것을 뒤늦게 확인했다"며 "본인인증 데이터 전체가 유출된 것은 절대 아니다. 단순히 삭제해야 되는 데이터를 선택하는 개발 과정에서 누락된 것"이라고 해명했다. 현재 해당 생년월일 데이터를 전부 폐기했다고 강조했다.
더쿠는 이번 사고 발생을 경찰에 알리고 추가 피해가 없도록 관계 기관과 긴밀히 협조할 방침이다. 더쿠 애플리케이션(앱) 등 버전은 보안성을 강화해 업데이트를 진행하는 중이다.
다만 20일 오후 6시20분께 더쿠는 개인정보보호위원회(개인정보위)에 관련 사고를 신고 접수하지 않은 것으로 파악됐다. 개인정보보호법 상 정보통신 서비스 제공자 등은 한 명 이상의 개인정보가 유출된 경우 24시간 이내 개인정보위·한국인터넷진흥원(KISA) 등 기관에 신고해야 한다.