듀오, 43만명 개인정보 유출…미흡한 보안 관리로 개인정보보호법 위반

결혼정보회사 듀오에서 발생한 개인정보 유출 사고로 약 43만 명의 민감한 정보가 외부로 유출된 것으로 확인됐다. 

유출된 정보에는 신체 조건, 혼인 경력, 직업, 학력, 자산 상태 등 개인의 사생활이 담긴 상세 정보가 포함되어 있으며, 듀오의 미흡한 보안 관리와 늑장 대응으로 인해 피해가 확산될 우려가 커지고 있다.

개인정보보호위원회 조사 결과, 듀오 직원의 업무용 PC 해킹으로 인해 정회원 42만 7464명의 데이터가 유출된 것으로 드러났다. 

듀오는 회원이 매니저를 통해 엄선된 이성 정보를 제공받고 만남을 이어가는 유료 서비스 특성상 회원의 사적인 정보를 깊이 신뢰받으며 관리해야 했지만, 기본적인 보안 체계조차 갖추지 못한 것으로 확인됐다.

유출된 데이터에는 아이디, 비밀번호, 성명, 생년월일, 주민등록번호 등 기본 식별 정보뿐만 아니라 신장, 체중, 혈액형, 종교, 취미와 같은 신체적·개인적 특성까지 포함되어 있었다. 

더 심각한 문제는 형제 관계, 장남·장녀 여부, 학교명과 전공, 입학 및 졸업 연도, 구체적인 직장명과 입사 시기 등 개인을 완벽하게 특정할 수 있는 민감 정보까지 해커의 손에 넘어갔다는 점이다.

조사 과정에서 듀오는 해커가 회원 데이터베이스에 접속을 시도할 때, 일정 횟수 이상 인증에 실패해도 접근을 제한하는 기본적인 방어 체계조차 갖추지 않은 것으로 드러났다. 

또한 주민등록번호와 비밀번호를 보호해야 할 암호화 알고리즘마저 안전성이 검증되지 않은 취약한 방식을 적용하여 개인정보 보호법상 안전성 확보 조치 의무를 위반한 사실이 확인되었다.

듀오는 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며, 개인정보 처리 방침에 기재된 보유 기간 5년이 지난 정회원 정보 29만 8566건을 파기하지 않은 사실도 밝혀졌다. 

정부의 조사 시작 이후에야 듀오는 주민등록번호 대신 생년월일만 받는 방식으로 가입 절차를 수정했다. 개인정보보호위원회는 듀오에 과징금 11억 9700만 원과 과태료 1320만 원을 부과하고, 피해 회원들에게 유출 사실을 즉시 통지할 것을 명령했다.

특히 듀오는 정보 유출 사실을 인지한 후 정당한 사유 없이 72시간을 허비하며 신고를 늦춘 것으로 드러났다. 

결혼정보회사의 특성상 삶의 가치관과 성향이 담긴 민감 정보가 대량으로 유출되었음에도 피해 회원들에게 이 사실을 즉각 알리지 않아 2차 피해를 막을 골든타임을 놓쳤다는 것이 정부의 판단이다. 

듀오 관계자는 개인정보위의 판단을 존중하고 회원의 개인정보 유출에 대해 사과하며, 사고 수습을 위해 최선을 다하겠다고 밝혔다. 하지만 서울 시내를 누비는 화려한 광고 이면에 가려졌던 보안의 구멍은 이미 많은 회원에게 씻을 수 없는 불안감을 안겨준 뒤였다.