X
최상단배너 최상단배너 최상단배너 최상단배너 최상단배너

결혼하려다 신체·직장 싹 털려…듀오 42만 회원 날벼락

이 기사 AI가 핵심만 딱!
애니메이션 이미지
구독
안유리 기자I 2026.04.23 13:29:15

듀오 해킹으로 42만명 개인정보 유출…과징금 11억 부과
주민번호·학력·직장 등 민감정보 포함…보호조치 미흡 확인
KS한국고용 4만명 정보 유출·다크웹 거래 시도…35억 과징금
접속통제·암호화 미흡 등 안전조치 위반 다수 적발

[이데일리 안유리 기자] 결혼정보회사 듀오가 지난해 1월 발생한 해킹 사고로 회원 42만 명의 개인정보가 유출돼 약 11억원의 과징금을 부과받았다. 개인정보위원회는 결혼정보회사의 특성상 생년월일부터 취미, 결혼유무 등 광범위한 개인정보가 유출돼 사안의 중대성이 크지만, 과징금 산정에 회사 규모 및 매출액이 반영됐다고 밝혔다.
개인정보보호위원회는 22일 제7회 전체회의를 열고, 개인정보 보호 법규를 위반한 듀오에 과징금 11억 9700만 원, 과태료 1320만 원을 부과했다고 밝혔다.

듀오의 경우, 지난해 1월 발생한 해킹사고로 전체 회원 42만 7464명의 개인정보가 유출됐다. 해킹 사고는 직원의 PC에 악성코드가 감염돼 발생됐다. 해커는 DB서버 계정 정보 확보 후 서버에 접속해 회원정보를 내려 받았다.

결혼정보회사 특성상 듀오에서 유출된 개인정보는 아이디, 비밀번호, 이름, 생년월일뿐만 아니라 광범위하다. 성별, 이메일주소, 휴대폰번호, 본인주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력(초혼/재혼), 형제관계, 장남/장녀 여부, 학교명, 전공, 입학년도, 졸업년도, 학교소재지, 입사년월, 직장명 등이 유출됐다.

듀오에서는 암호화된 주민등록번호도 유출됐다. 개보위는 주민번호의 암호화 수준이 낮아 법 규정을 충족하지 않아 안전하지 않다고 판단했다. 이정은 개인정보위 조사조정국 조사2과장은 “해커가 쉽게 암호화를 풀 수 있다 단정은 못하지만, 암호화를 풀 수 있는 취약한 상태의 알고리즘을 적용했다”고 설명했다.

듀오는 회원DB에 접속하는 경우, 일정 횟수 이상 인증 실패 시 접근제한 등의 조치를 설정하지 않았으며, 정회원 가입시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며, 개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만 8566건을 파기하지 않은 사실도 확인했다.

개인정보위는 또 듀오가 유출을 확인했음에도 정당한 사유 없이 72시간을 넘겨(약 4일 후) 유출신고를 지연했다고 밝혔다. 홈페이지에 유출 공지만 하고 개별적인 회원에게 개인정보 위반 통지도 이뤄지지 않았다. 이정은 과장은 “위반행위에 대한 심각성 및 중대성도 반영되지만, 기준 자체가 매출액이다 보니 이에 맞춰 과징금이 산정됐다”고 설명했다.

KS한국고용유출 정보, 다크웹에서 거래 시도

지난해 4월 15일 해킹사고로 4만 875명의 개인정보가 유출된 KS한국고용은 과징금 35억 3700만 원, 과태료 420만 원을 부과받았다. 유출된 개인정보는 이름, 주민등록번호, 휴대전화번호, 주소, 이메일, 계좌번호 등이다.

해커는 웹페이지의 취약점을 이용해 서버 내 각종 인사서류 파일 약 5만 건을 내려받아 유출했다. 해당 서류는 KS한국고용의 상담사·직원 등이 입사·재직중 제출한 주민등록등본, 신분증 사본, 통장 사본, 가족관계증명서 등으로 본인의 정보뿐만 아니라 가족의 개인정보가 다수 포함되어 있었다. 이후 해커는 유출 정보를 다크웹에 게시하고 보유한 데이터베이스에 대한 거래를 시도한 것으로 확인됐다.

조사 결과, KS한국고용은 해당 처리시스템으로 일반 인사관리 기능과 콜센터 운영 관련 기능을 함께 운영하면서 접속 권한을 IP 등으로 제한하지 않았다. 또 안전한 접속수단 혹은 인증수단을 적용하지 않아 아이디·비밀번호 만으로 외부에서 제한 없이 접속이 가능했던 사실이 확인됐다. 아울러 인사증빙 서류 내 주민등록번호를 마스킹 또는 암호화 조치 없이 저장하는 등 안전조치 의무를 다수 위반했다.

입사지원자가 최종 합격해 직원이 되기 전까지는 주민등록번호를 처리할 수 없음에도 법적 처리 근거 없이 일부 입사지원자의 주민등록번호를 수집·처리했다. 또한, 보유기간이 경과한 퇴사자 및 교육생 2035명의 개인정보를 파기하지 않은 사실도 확인했다.

묘지 임대·관리 서비스를 제공하는 금릉공원묘원은 과징금 5420만 원을 부과받았다. 해커는 금릉공원묘원이 운영하는 웹사이트 내 관리비 조회 및 납부 페이지에 존재하는 파라미터 변조 취약점을 악용해 이용자 5373명의 개인정보(이름, 주민등록번호, 휴대전화번호)를 유출했다.

민감한 정보 다루는 결정사…개인정보 보호 사각지대

개인정보위는 향후 이러한 사고의 재발을 막기 위해 결혼중개, 채용 서비스 등 회사를 대상으로 제도 개선을 이뤄나갈 방침이다. 개인정보 처리방침 평가, 기획점검 등을 통해 개인정보 수집·이용 적절성 및 정보주체의 권리 보호 수준을 평가하고 개선해 나갈 방침이다.

특히 중소기업이 많은 결혼중개 회사의 경우 ISMS(정보보호관리체계)인 의무 대상이 아닌 가운데, 일정 부분 의무화시키는 방향을 검토 중이다.

이정은 과장은 “일정 부분 의무화를 시키는 방향으로 제도개선을 하고 있고, 의무화 대상이 아니더라도 처리하고 있는 정보의 민감도에 따라 자율적으로 인증을 받을 수 있도록 다양한 인센티브 정책을 시행해 유도하겠다”라고 말했다.

이 기사 AI가 핵심만 딱!
애니메이션 이미지지

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지

댓글