국내 결혼정보회사 듀오정보(이하 듀오)가 매년 최대 실적을 경신하며 성장세를 이어가고 있지만, 정작 고객의 민감한 개인정보 보호에는 취약했던 것으로 드러났다. 100억원 이상의 영업이익을 꾸준히 창출해온 ‘알짜 기업’이지만, 보안 관리 수준은 이에 미치지 못했다는 지적이다.

회원 프로필 43만건 유출…해킹에 뚫린 보안망

23일 개인정보보호위원회(이하 개보위)에 따르면 해커는 지난해 1월 듀오 개인정보 취급 직원의 업무용 PC에 악성코드를 심어 DB 서버 계정 정보를 탈취한 뒤, 이를 통해 회원 DB 서버에 접근해 정회원 42만7464명의 개인정보를 외부로 유출한 것으로 확인됐다. 개보위는 지난 22일 전체회의를 열고 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과했다.

유출된 정보는 아이디, 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화), 성별, 이메일, 휴대전화 번호, 주소는 물론 신장·체중·혈액형·혼인경력·학력·직장 정보 등 총 24개 항목에 달한다. 결혼정보업 특성상 개인의 신상과 관계 이력이 집약된 고위험 정보가 대거 포함됐다는 점에서 파장이 크다.

피해 규모가 커진 배경에는 기본적인 관리 부실이 있었다. 개인정보처리방침에 따라 보유기간 5년이 지난 정보는 파기해야 하지만, 듀오는 이를 이행하지 않았고 미파기 데이터만 약 29만8566건에 달했다. 또한 해킹 사실을 인지하고도 72시간이 지나서야 한국인터넷진흥원(KISA)과 수사기관에 신고했으며 아직까지 용의자를 특정하지 못했다. 또한 사건 발생에 대한 회원 통지도 1년 넘게 지연된 것으로 나타났다. 듀오는 과거 2003년에도 약 30만명 규모의 개인정보 유출 사고를 겪었음에도 사고 대응뿐만 아니라 보안 관리 체계 전반이 미흡했다는 비판이 제기되고 있다.

매출 500억에도 보안 투자는 ‘뒷전’

이번 사고가 더욱 논란이 되는 이유는 회사의 재무 성과와 보안 투자 수준 간 괴리가 크기 때문이다. 금융감독원 전자공시시스템에 따르면 듀오의 매출은 2023년 400억원에서 2024년 454억원, 지난해 483억원으로 꾸준히 증가했다. 영업이익 역시 매년 100억원 이상을 기록하며 지난해 116억원, 영업이익률 약 24%를 나타냈다. 당기순이익도 최근 3년간 60억~100억원 수준을 유지했다.

그러나 개보위 조사 결과 듀오는 회원 DB 접근 시 인증 실패 횟수 제한과 같은 기본적인 접근통제 장치를 설정하지 않았고, 주민등록번호와 비밀번호에 안전성이 검증되지 않은 암호화 알고리즘을 적용하는 등 필수적인 보호 조치를 이행하지 않은 것으로 드러났다.

재무제표상 투자 수준에서도 한계가 확인된다. 듀오의 무형자산은 약 4500만원에 불과한데, 통상 보안 솔루션과 전산 시스템 비용이 포함된다는 점을 고려하면 수십만 건의 민감 정보를 관리하는 데 투입된 비용이 매우 제한적이었다는 해석이 가능하다. 듀오와 개보위에 따르면 내부 보안 역시 전담 조직이 아닌 정보기술팀 인력 10명이 담당하고 있으며, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증도 획득하지 않은 상태다.

한 보안업체 관계자는 “개인정보를 대규모로 처리하는 기업들은 통상 ISMS-P 인증을 통해 보안 체계를 검증받는데 많은 시간과 비용이 든다”며 “해당 인증 과정에는 망분리, 접근통제, 정기 점검, 보안교육 등 필수적인 보안 요건이 포함돼 있어 이를 갖췄다면 사고 발생 가능성을 상당 부분 낮출 수 있었을 것”이라고 지적했다.

이에 대해 듀오 측은 홈페이지 안내문을 통해 “당사는 정보 유출 인지 후 한국인터넷진흥원 및 수사기관에 신고하여 더 이상 유출되지 않도록 기술적 조치를 실시했다”며 “사건 발생 이후 당사는 개인정보보호위원회의 조사에 적극적으로 응하며 권고 사항에 따라 시정 조치를 이행하였으며, 특히 주민등록번호는 ‘결혼중개업법’에 준하여 이미 삭제 조치 완료했다”고 밝혔다.

또한 “사고 이후 개인정보 보호에 더욱 만전을 기하며 관리 시스템을 점검하고 내부 교육에 힘쓰고 있으며, 동일한 사고가 재발하지 않도록 보안 강화를 철저히 해 나가고 있다”고 덧붙였다.

김가영 기자