'듀오' 땅문서·계좌 잔고도 털렸다…42만명 회원 정보 유출

결혼정보업체 '듀오'에서 회원 계좌 잔고와 부동산 보유 내역도 유출된 것으로 드러났다.

26일 과학기술정보통신부가 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실에 제출한 침해사고 신고서에 따르면 듀오 회원 정보는 지난해 1월 28일 해킹됐다.

해커는 회원 데이터베이스 접근 권한이 있는 PC에 원격 접속해 약 42만명의 개인 정보를 탈취했다. 듀오는 피해 사실을 지난해 2월 3일 인지하고 이튿날 정부에 신고했다.

사고 원인은 듀오의 '취약한 암호 체계' 때문이었다. 최 의원실에 따르면 듀오는 한국인터넷진흥원(KISA)의 '암호 알고리즘 및 키 길이 이용 안내서' 기준을 지키지 않았다. 듀오는 개인정보보호위원회가 2024년 배포한 '개인정보 안정성 확보 조치 기준 안내서'가 권장한 '안전한 암호 알고리즘'도 이용하지 않았다.

이번 사고로는 회원의 이름과 생년월일, 성별, 연락처 등 기본 정보와 신장, 체중, 혈액형, 종교, 혼인 경력 등 민감정보가 빠져나갔다. 특히 피해 범위에는 회원이 인증을 위해 제출한 자산 증빙 자료와 원천징수 내역까지 포함됐다.

듀오는 개인정보 보관기관인 5년이 지났거나 서비스를 탈퇴한 회원의 정보도 파기하지 않고 보관한 것으로 확인됐다.

최 위원장은 "개인 간 만남을 중개하는 기업이 정부 지침을 어긴 것은 무책임한 처사"라며 "민감정보 수집 기업에는 별도의 보안 대책을 마련해야 한다"고 목소리를 높였다.

개인정보보호위원회는 듀오에 개인정보 유출 사고 관련 과징금 11억9700만원과 과태료 1320만원을 부과했다.

박수빈 한경닷컴 기자 waterbean@hankyung.com