국회 과학기술정보방송통신위원회 최민희 위원장이 결혼정보업체 듀오정보(듀오) 대규모 개인정보 유출 사고에서 현재 정회원과 탈퇴한 정회원의 부동산, 현금 등 재산 보유액과 원천징수 내역까지 유출된 사실을 추가로 확인했다고 25일 밝혔다.
이번 사고는 약 42만명 규모의 개인정보가 유출된 대형 보안 사고다. 개인정보보호위원회에 따르면 해커는 2025년 1월 듀오정보 직원의 업무용 PC를 악성코드로 감염시킨 뒤 DB 서버 계정 정보를 확보해 회원 데이터베이스에 접근했고, 정회원 42만7464명의 정보를 외부로 빼냈다.
유출된 정보에는 이름, 생년월일, 연락처, 주소 등 기본 정보뿐 아니라 신장·체중·혈액형·종교·혼인경력·학력·직장 등 개인의 성향과 이력을 보여주는 정보가 포함됐다.
일부 회원의 경우 부동산, 현금 등 재산 규모와 원천징수 내역까지 유출된 것으로 확인됐다. 보유기간이 지난 회원과 탈퇴 회원 정보까지 포함되면서 피해 범위는 더 확대됐다.
조사 결과 듀오는 기본적인 보안 조치를 제대로 이행하지 않은 것으로 나타났다. 회원 DB 접속 시 인증 실패 횟수 제한을 설정하지 않았고, 주민등록번호와 비밀번호에 안전성이 검증되지 않은 암호화 알고리즘을 사용했다. 이는 한국인터넷진흥원과 개보위의 권고 기준을 따르지 않은 것이다.
또한 법적 근거 없이 주민등록번호를 수집·보관했으며, 개인정보처리방침상 보유기간(5년)이 지난 29만8566건의 정보를 파기하지 않은 사실도 확인됐다. 사고 이후에도 법정 기한(72시간)을 넘겨 지연 신고했고, 현재까지 정보주체에게 개별 통지를 하지 않은 점도 문제로 지적됐다.
개보위는 듀오에 과징금 11억9700만원과 과태료 1320만원을 부과하고, 유출 사실 통지와 재발 방지 대책 마련, 최소 수집 원칙 준수 등을 명령했다. 아울러 해당 처분 사실을 홈페이지에 공표하도록 했다.
전문가들은 이번 사건을 계기로 민감정보를 다루는 기업에 대한 별도 보안 기준이 필요하다고 지적한다. 김승주 고려대학교 정보보호대학원 교수는 “가입자 규모가 아닌 정보의 민감도를 기준으로 한 차등 규제가 필요하다”고 밝혔다.
관련기사
- '사람 중심' HR테크 컨퍼런스 5월 열린다2026.03.25
- 2026 봄·여름 놓치면 안될 'HR 컨퍼런스' 3선2026.04.06
- "인재는 왜 떠날까"…HRer들이 본 '요즘' 채용과 조직문화2026.04.08
- AI 시대, HR이 꼭 챙겨야할 '변하지 않는 가치' 뭘까2026.04.21
최 위원장은 “듀오는 개인 간 만남을 중개하는 특성상 고도의 개인정보 보호 책임이 요구되는데도 이를 소홀히 했다”며 “회원 정보를 보호 대상이 아닌 기업 이익 창출 수단으로 여긴 것처럼 보인다”고 지적했다. 이어 “가입자 수가 아닌 ‘민감정보 보유 여부’를 기준으로 한 별도 규제가 필요하다”며 “침해사고가 기업이 아닌 외부를 통해 알려지는 관행도 개선해야 한다”고 강조했다.
듀오 측은 이와 관련 "현재 시점까지 2차 피해 발생은 일어나지 않은 것으로 확인됐다"며 "지난해 1월 28일 이후 상담 문의 혹은 가입하신 회원님들께는 어떠한 피해도 발생하지 않았다"고 알렸다.
