개보위, 결혼정보업체 ‘듀오’ 회원 43만명 체중·학력까지 다 털렸다

국내 유명 결혼중개 서비스 업체인 ‘듀오정보’가 해킹 공격으로 인해 전 현직 회원 43만명의 개인정보를 유출하고도 사후 대응을 소홀히 한 사실이 드러났다.

개인정보보호위원회(이하 ‘개인정보위’)는 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 듀오정보에 대해 과징금 11억9700만원과 과태료 1320만 원 부과 및 시정명령을 의결했다고 23일 밝혔다.

조사 결과에 따르면, 이번 사고는 지난 2025년 1월 외부 해커가 듀오 직원의 업무용 PC를 악성코드에 감염시키면서 시작됐다. 해커는 확보한 계정 정보를 이용해 회원 데이터베이스(DB) 서버에 접속, 전체 정회원 42만7464명의 개인정보를 통째로 내려받아 유출했다.

유출된 정보에는 이름, 연락처, 주소 등 기본 정보뿐만 아니라 결혼정보업체 특성상 수집되는 신장, 체중, 혈액형, 종교, 혼인경력, 형제관계, 학력, 직장 등 개인의 삶이 고스란히 담긴 민감한 정보들이 대거 포함되어 있어 2차 피해 우려가 매우 큰 상황이다.

듀오의 보안 체계는 처참한 수준이었다. 개인정보위 조사 결과, 듀오는 회원 DB 접속 시 일정 횟수 이상 인증에 실패해도 접근 제한 조치를 하지 않았으며, 주민등록번호와 비밀번호를 암호화하면서 안전하지 않은 알고리즘을 사용한 것으로 드러났다.

또한, 법적 근거 없이 관행적으로 주민등록번호를 수집·저장해왔으며, 보유 기간(5년)이 지난 퇴사자 및 정회원 정보 약 30만 건을 파기하지 않고 그대로 보관하다가 이번 유출 사고의 규모를 키웠다.

특히 듀오는 유출 사실을 인지한 후에도 법정 신고 기한인 72시간을 넘겨 지연 신고를 했으며, 무엇보다 현재까지도 피해 당사자인 정보주체들에게 유출 통지를 하지 않은 것으로 나타났다.

개인정보위는 “결혼중개 서비스의 특성상 매우 민감한 정보가 다량 수집됨에도 불구하고, 유출 이후 통지조차 하지 않는 등 2차 피해 방지 노력이 매우 소홀했다”고 질타했다. 이에 따라 위원회는 듀오에 즉각적인 유출 통지 실시와 함께 전반적인 개인정보 관리 체계 강화를 명령했다.

한편, 이날 회의에서는 듀오 외에도 개인정보 관리를 소홀히 한 2개 사업자에 대한 처분도 함께 내려졌다.

케이에스한국고용정보는 해킹으로 상담사 및 입사지원자 등 4만여 명의 정보와 5만건의 인사서류가 유출되어 35억3700만 원의 과징금을 부과 받았다. 재단법인 금릉공원묘원도 웹사이트 취약점을 방치해 5300여 명의 개인정보가 유출돼 5420만원의 과징금 처분을 받았다.

개인정보위 관계자는 “과거의 수집 관행에 따라 주민등록번호를 계속 수집하거나 사업자 편의에 따라 수집 허용 시점 이전부터 일괄적으로 주민등록번호를 수집하고 있는 사례가 자주 발생하고 있다”며 “적법한 처리 근거가 있는지, 암호화 저장 등 안전조치를 적절히 이행하고 있는지에 대한 체계적인 점검이 필요하다”고 당부했다.