국내 대표 결혼중개업체인 듀오(듀오정보㈜)에서 자사 정회원 약 42만 건의 민감한 개인정보가 유출된 가운데, 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당, 남양주갑)은 정회원과 탈퇴한 정회원의 부동산, 현금 등 재산 보유액과 원천징수 내역까지 유출된 사실을 추가 확인했다고 밝혔다.

■ 듀오 해킹 사고, 안전한 암호 알고리즘 미사용이 해킹의 원인

과학기술정보통신부가 최민희 의원실에 제출한 듀오 침해사고 신고서에 따르면, 듀오는 2025년 2월 3일 침해사고를 인지했고 다음 날 정부에 신고한 것으로 확인됐다.

듀오 측에 따르면, 2025년 1월 28일 침해사고가 발생했고 해커는 듀오 회원 DB 서버에 접근 가능한 PC에 원격 접속해 서버에 저장된 약 42만 건의 개인정보를 유출했다고 한다.

사고 원인은 원격 접속 프로그램 설치 및 해킹을 통해 고객 DB에 접근한 뒤, DB 백업이 실패하자 개별 조회 방식으로 개인정보를 추출해 외부로 유출한 것으로 나타났다.

최 의원실의 분석에 의하면 이번 사고의 원인 중 하나는 듀오 측이 2018년 한국인터넷진흥원이 발표한 「암호 알고리즘 및 키 길이 이용 안내서」에서 제시한 기준을 준수하지 않았기 때문이라고 한다.

개인정보보호위원회(개보위)는 2024년에 배포한 「개인정보의 안전성 확보 조치 기준 안내서」에서는 주민등록번호, 비밀번호 등에 ‘안전한 암호 알고리즘’ 사용을 권장하고 있으나, 듀오 측은 이에 준하는 알고리즘을 사용하지 않아 발생한 것으로 보인다.

■ 주민등록번호 등 법상 ‘민감정보’ 유출… 원천징수 내역 및 재산 규모 포함 가능성

듀오는 결혼중개업 특성상 일반 기업과 달리 다양한 종류의 민감한 개인정보를 보관한 것으로 파악됐다.

개보위에 따르면, 이번 침해사고로 유출된 개인정보에는 아이디, 비밀번호(암호화), 이름, 생년월일, 주민등록번호(암호화), 성별, 이메일 주소, 휴대전화번호, 주소를 비롯해 신장, 체중, 혈액형, 종교, 취미, 혼인 경력(초혼/재혼), 형제관계, 학교명, 전공 등이 포함된 것으로 알려졌다.

개인정보보호법 제23조에 따르면 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보를 ‘민감정보’로 정의하고 있다.

유출된 정보 중 신장, 체중, 혈액형 등은 개인의 신체적·생리적·행동적 특징에 관한 정보로서 민감정보에 해당할 수 있으며, 혼인 경력과 직장 정보 역시 개인에게 매우 민감하게 받아들여질 수 있다.

또한 최민희 의원실이 개보위를 통해 확인한 결과, 일부 정회원이 듀오에 제출한 부동산, 현금 등의 유출 가능성도 있는 것으로 알려졌다.

■ 가입자 규모 아닌 ‘민감정보’ 기준의 정보보호 규제 필요

현행 개인정보보호법은 개인정보의 종류, 규모, 종업원 수 및 매출액 등을 고려하여 안전성 확보 조치 이행 여부를 정기적으로 조사하도록 하고 있다.

그러나 이번 듀오 해킹 사고를 통해 가입자 규모뿐 아니라 법률상 ‘민감정보’ 수집 여부에 따른 보관 방식에 있어 별도의 강화된 보안 조치가 필요함이 드러났다.

이에 대해 보안 전문가 김승주 고려대학교 정보보호대학원 교수는 “이번 듀오 사태를 통해 가입자 규모뿐 아니라 법률로 정한 민감정보를 보관하는 방식에 있어서 차별화된 기준과 추가 규제가 필요하다”고 밝혔다.

최민희 의원은 “듀오는 개인 간 만남을 중개하는 기업으로서 특히 민감한 개인정보를 다루고 있음에도 정부 가이드라인을 준수하지 않았다”며 “현재까지 보인 무책임한 대응은 회원 개인정보를 보호 대상이 아닌 기업 이익 창출 수단으로 여기는 것으로 보인다”고 지적했다.

그러면서 “과기정통부와 개인정보보호위원회는 강도 높은 규제 대책을 마련해야 한다”고 강조했다. 아울러 “민감정보를 수집하는 기업에 대해서는 보다 강화된 별도 규제를 통해 보안 수준을 높일 필요가 있다”고 촉구했다.