아시아뉴스통신
뉴스홈 전체기사 정치 산업ㆍ경제 사회 국제
스포츠 전국 연예·문화 종교 인터뷰 TV

듀오 회원, 계좌잔고·땅문서까지 털려

  • [서울=아시아뉴스통신] 강태진 기자
  • 송고시간 2026-04-26 00:00
  • 뉴스홈 > 사회/사건/사고
(사진제공=듀오정보)


[아시아뉴스통신=강태진 기자] 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당, 남양주갑)은 국내 대표 결혼중개업체인 듀오(듀오정보㈜)에서 자사 정회원 약 42만 건의 민감한 개인정보가 유출된 가운데, 현재 정회원과 탈퇴한 정회원의 부동산, 현금 등 재산 보유액과 원천징수 내역까지 유출된 사실을 추가로 확인했다.

최민희 국회의원실에 과학기술정보통신부가 제출한 듀오 침해사고 신고서에 따르면, 듀오는 2025년 2월 3일 침해사고를 인지했고 다음 날 정부에 신고한 것으로 확인됐다.
 
듀오 측은 2025년 1월 28일 침해사고가 발생했으며, 해커는 듀오 회원 DB 서버에 접근 가능한 PC에 원격 접속하여 서버에 저장된 약 42만 건의 개인정보를 유출시켰다. 사고 원인은 원격 접속 프로그램 설치 및 해킹을 통해 고객 DB에 접근한 뒤, DB 백업이 실패하자 개별 조회 방식으로 개인정보를 추출하여 외부로 유출한 것으로 확인됐다.

가장 중요한 원인은 듀오 측이 2018년 한국인터넷진흥원이 발표한 「암호 알고리즘 및 키 길이 이용 안내서」에서 제시한 기준을 준수하지 않았기 때문으로 확인됐다.
 
개인정보보호위원회는 2024년에 배포한 「개인정보의 안전성 확보 조치 기준 안내서」에서는 주민등록번호, 비밀번호 등에 ‘안전한 암호 알고리즘’ 사용을 권장하고 있으나, 듀오 측은 이에 준하는 알고리즘을 사용하지 않았고, 이로 인해 해킹이 발생한 것으로 보인다.

 
(사진제공=듀오정보)



듀오는 결혼중개업 특성상 일반 기업과 달리 다양한 종류의 민감한 개인정보를 보관한 것으로 파악됐다. 개인정보보호위원회에 따르면, 이번 침해사고로 유출된 개인정보에는 아이디, 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화), 성별, 이메일 주소, 휴대전화번호, 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인 경력(초혼/재혼), 형제관계, 장남·장녀 여부, 학교명, 전공, 입학년도, 졸업년도, 학교 소재지, 입사 연월, 직장명 등이 포함됐다.
 
개인정보보호법 제23조에 따르면 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보를 ‘민감정보’로 정의하고 있다. 유출된 정보 중 신장, 체중, 혈액형 등은 개인의 신체적·생리적·행동적 특징에 관한 정보로서 민감정보에 해당할 수 있으며, 혼인 경력과 직장 정보 역시 개인에게 매우 민감하게 받아들여질 수 있다.
 
또한 최민희 의원실이 개인정보보호위원회를 통해 확인한 결과, 일부 정회원은 부동산, 현금 등 재산 규모와 원천징수 내역을 듀오 측에 제출한 것으로 확인됐다. 예를 들어 회원이 재산 관련 증빙자료를 제출하면, 듀오는 이를 정제하여 보관해온 것으로 나타났으며, 이 역시 유출된 것으로 파악됐다.
 
더 나아가 유출된 회원에는 현재 정회원뿐 아니라 개인정보 보관기간 5년이 경과한 회원 및 탈퇴 회원까지 포함된 것으로 확인됐다. 이는 개인정보처리방침을 준수하지 않은 것으로, 피해 규모를 더욱 키운 요인으로 보인다.
 
(사진제공=듀오정보)



현행 개인정보보호법은 개인정보의 종류, 규모, 종업원 수 및 매출액 등을 고려하여 안전성 확보 조치 이행 여부를 정기적으로 조사하도록 하고 있다.
 
그러나 이번 듀오 해킹 사고를 통해 가입자 규모뿐 아니라 법률상 ‘민감정보’ 수집 여부에 따른 보관 방식에 있어 별도의 강화된 보안 조치가 필요함이 드러났다.
 
이에 대해 보안 전문가 김승주 고려대학교 정보보호대학원 교수는 “이번 듀오 사태를 통해 가입자 규모뿐 아니라 법률로 정한 민감정보를 보관하는 방식에 있어서 차별화된 기준과 추가 규제가 필요하다”고 밝혔다.
 
최민희 의원은 “듀오는 개인 간 만남을 중개하는 기업으로서 특히 민감한 개인정보를 다루고 있음에도 정부 가이드라인을 준수하지 않았다”며 “현재까지 보인 무책임한 대응은 회원 개인정보를 보호 대상이 아닌 기업 이익 창출 수단으로 여기는 것으로 보인다”고 비판했다.
 
또, “민간에서 침해사고가 발생했음에도 기업이 아닌 언론을 통해 사실이 알려지는 관행은 개선되어야 한다”며 “과기정통부와 개인정보보호위원회는 강도 높은 규제 대책을 마련해야 한다”고 강조했다.
 
아울러 “민감정보를 수집하는 기업에 대해서는 보다 강화된 별도 규제를 통해 보안 수준을 높일 필요가 있다”고 촉구했다.
 
[ 저작권자 © 아시아뉴스통신 ]

아시아뉴스통신단독



Copyright ⓒ 아시아뉴스통신 All Rights Reserved.