국내 결혼정보회사 듀오가 회원 43만명 개인정보 유출 사고 관련 “듀오를 신뢰하고 아껴주신 회원님들께 심려를 끼쳐 드린 점, 머리 숙여 깊이 사과드린다”고 밝혔다.
듀오는 공식 홈페이지에 올린 대표 명의 ‘개인정보 유출 관련 안내’ 입장문에서 “당사 개인정보 유출 사고 관련 개인정보보호위원회의 발표에 많은 걱정과 우려가 있을 줄로 안다”며 이같이 알렸다. 이어 “개인정보 유출 사고는 2025년 1월28일 일어난 일”이라며 “당사는 정보 유출 인지 후 한국인터넷진흥원과 수사기관에 신고해 더 이상 유출되지 않게 기술적 조치를 실시했다”고 설명했다.
그러면서 “홈페이지에 유출 사실을 공지하고 전담 콜센터를 운영하며 2차 피해를 입은 분들의 신고 접수를 받았지만, 현재 시점까지 2차 피해 발생은 일어나지 않은 것으로 확인됐다”고 강조했다. 회사는 “개인정보 보호에 더욱 만전을 기하며 관리 시스템을 점검하고 내부 교육에 힘쓰고 있다”면서 “개인정보보호위원회의 결과 통지문을 받는 즉시 정보 유출 사고 당사자들께도 개별 통지하겠다”고 부연했다.
개인정보보호위원회(개인정보위)에 따르면 지난해 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당하며 정회원 42만7464명의 데이터가 외부로 빠져나갔다.
듀오의 정회원은 일정 수준의 가입비를 지불하고 매니저를 통해 엄선된 이성 정보를 제공받으며 만남을 이어가는 핵심 고객층이다. 회사가 보장하는 만남의 횟수가 곧 유료 서비스의 가치인 만큼 이들은 자신의 가장 사적인 정보들을 회사 측에 전적으로 신뢰하며 맡겨왔다.
아이디와 비밀번호, 성명, 생년월일, 주민등록번호 등 기본 식별 정보는 물론이고 신장과 체중, 혈액형, 종교, 취미와 같은 신체적·개인적 특성까지 유출됐다. 여기에 더해 형제 관계와 장남·장녀 여부, 학교명과 전공, 입학 및 졸업 연도, 구체적인 직장명과 입사 시기 등 한 사람의 신원을 완벽하게 특정할 수 있는 민감 정보들이 해커의 손에 넘어갔다.
듀오의 보안 관리 실태는 허술하기 짝이 없었다. 해커가 회원 데이터베이스(DB)에 접속을 시도할 때, 일정 횟수 이상 인증에 실패해도 접근을 제한하는 등의 기본적인 방어 체계조차 갖추지 않았다. 더욱이 주민등록번호와 비밀번호를 보호해야 할 암호화 알고리즘마저 안전성이 검증되지 않은 취약한 방식을 적용하는 등 개인정보 보호법상 안전성 확보 조치 의무를 위반한 것으로 확인됐다.
법적 근거 없는 과도한 정보 수집 행태도 비판을 받았다. 듀오는 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했고, 개인정보 처리 방침에 기재한 보유기간 5년이 지난 정회원 정보 29만8566건을 파기하지 않은 사실도 확인됐다. 이번 사고의 피해 규모가 컸던 가장 큰 이유로 볼 수 있다.
정부의 조사가 시작된 이후에야 듀오는 주민등록번호 대신 생년월일만 받는 방식으로 가입 절차를 뒤늦게 수정한 것으로 알려졌다.
개인정보위는 “국내 결혼을 중개하는 사업장이 주민등록번호를 수집할 수 있다는 명시적 근거가 결혼중개업법상 존재하지 않음에도 듀오는 이를 관행적으로 수집해왔다”며 “조사 과정에서 위반 사실을 인지한 듀오 측이 현재는 주민등록번호 수집을 중단하고 생년월일로 대체하도록 시정한 상태”라고 전했다.
듀오는 정보 유출 사실을 인지한 후에도 정당한 사유 없이 72시간을 허비하며 신고를 늦춘 정황이 포착됐다. 결혼정보회사의 특성상 삶의 가치관과 성향이 담긴 민감 정보가 대량으로 유출됐는데도 피해 회원들에게 이 사실을 즉각 알리지 않아 2차 피해를 막을 골든타임을 놓쳤다는 것이 정부의 판단이다. 고객의 사생활 보호보다 기업의 평판 하락을 더 우려한 ‘늑장 대응’ 아니냐는 비판을 피하기 어렵게 됐다.
개인정보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과하는 한편, 피해 회원들에게 유출 사실을 즉시 통지할 것을 명령했다. 재발 방지를 위한 보안 조치 강화, 최소 정보 수집 원칙 준수, 명확한 개인정보 파기 지침 수립 등 전반적인 관리 체계를 개선하라고 지시했다. 아울러 이번 행정 처분 사실을 홈페이지에 공표하도록 했다.
누리꾼들 사이에서는 유출된 개인정보가 회원들의 민감한 프로필 정보라는 점에서 더 강한 제재가 이뤄졌어야 하는 것 아니냐는 지적도 나왔다. 개인정보보호법에 따르면 개인정보위는 법 위반으로 개인정보 유출 사고 등을 내면 전체 매출액의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있다.
듀오 사례에서는 해킹에 따른 위반 행위가 지난해 발생했으므로 직전 3개년인 2022~2024년 매출액의 평균(약 413억원)을 기준으로 과징금이 산정됐다. 개인정보위는 규모가 작은 기관이나 기업의 부담을 줄이기 위해 공공기관, 비영리법인, 비영리단체, 중소기업의 과징금을 감경해주는데, 듀오는 중기업으로 분류되면서 기준 금액의 15%가 감경됐다. 과태료는 행정법상 의무 위반 개수 등에 따라 정해지며, 듀오는 정보 파기 규정 위반, 신고 위반, 통지 위반 등 3가지 의무를 위반해 1320만원이 부과됐다는 게 개인정보위의 설명이다.