“결혼하려다 정보만 털렸네”…듀오서 대규모 정보 유출 발생

회원 42만명 대규모 민감정보 유출
주민번호·학력·직장·몸무게까지
정부, 과징금·시정 명령 등 조치

(듀오 광고영상 갈무리)

국내 대형 결혼정보회사 ‘듀오’에서 해킹으로 인해 정회원 42만명의 개인정보가 유출되는 대규모 보안 사고가 발생했다. 듀오 측은 유출 사실을 파악하고도 신고를 지연하고 피해 회원들에게 알리지 않는 등 안일하게 대처해 논란이 일고 있다.

23일 개인정보보호위원회에 따르면, 지난해 1월 듀오 소속 직원의 업무용 PC가 해킹되면서 정회원 42만7464명의 개인정보가 유출됐다. 유출 항목에는 아이디, 비밀번호, 생년월일, 주민등록번호 등 기본 정보뿐만 아니라 신장, 체중, 종교, 학력, 직장명 등 민감 정보도 대거 포함됐다.

정부 조사 결과, 듀오의 보안 및 개인정보 관리 실태는 총체적으로 부실했다. 해커가 회원 데이터베이스(DB) 접근 시 일정 횟수 이상 인증에 실패해도 접근을 제한하는 조치가 없었고, 비밀번호에는 안전하지 않은 암호화 알고리즘을 적용했다. 또한 명시적 법적 근거 없이 정회원 가입 시 주민등록번호를 수집·저장했으며, 보유기간 5년이 지난 29만8566건의 회원 정보를 파기하지 않고 방치한 사실도 적발됐다.

이정은 개인정보위 조사2과장은 “결혼중개업법상 명시적 근거가 없는데도 듀오가 가입 시 주민등록번호를 받았고 유출한 사실이 확인됐다”며, “조사 과정에서 법 위반 사실을 인지하고 현재는 생년월일만 받는 것으로 시정했다”고 밝혔다.

사고 발생 이후 ‘늑장 대응’도 문제로 지적됐다. 듀오는 정보 유출 사실을 파악하고도 정당한 사유 없이 72시간을 넘겨 신고를 지연한 정황이 확인됐다. 또한 다량의 민감 정보가 유출됐음에도 피해 회원들에게 해당 사실을 즉각 통지하지 않아 2차 피해 방지 의무를 소홀히 했다.

이에 개인정보위는 듀오에 과징금 11억9700만원, 과태료 1320만원을 부과하고 유출 회원들에게 즉각 사실을 통지하라고 시정 명령했다.

듀오 관계자는 “개인정보위 판단을 존중하고 회원의 개인정보가 유출돼 죄송하다”면서“사고 수습에 만전을 기해 아직 2차 피해는 한 건도 발생하지 않았으며, 재발 방지에 최선을 다하겠다”고 말했다.