개인정보위 “관리 소홀·사고 은폐” 지적

과징금·과태료 총 12억원 부과·시정 명령

송경희 개인정보보호위원회 위원장이 지난 22일 오후 서울 종로구 정부서울청사에서 개최된 2026년 제7회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다. <사진=개인정보보호위원회> 국내 최대 결혼정보회사로 알려진 듀오정보(이하 듀오)에서 40만명이 넘는 전체 회원들의 민감한 개인정보가 유출되는 사태가 발생했다. 특히 듀오는 대규모 해킹 사고를 인지하고도 회원들에게 사실을 알리지 않는 등 후속 대응마저 소홀했던 것으로 드러났다.

개인정보보호위원회는 지난 22일 제7회 전체회의를 열고,개인정보 보호 법규를 위반한 듀오에 대해 과징금 11억9700만원과 과태료 1320만원을 부과하고,시정 조치와 공표 명령을 의결했다고 23일 밝혔다.

개인정보위 조사 결과,지난해 1월 해커는 인터넷망에 접속한 듀오 직원(개인정보취급자)의 업무용 PC에 악성코드를 감염시킨 뒤 데이터베이스(DB) 서버 계정 정보를 확보했다. 이를 통해 해커는 정회원 42만7464명의 개인정보가 담긴 DB에 접속해 정보를 외부로 무단 유출했다. 외부로 빠져나간 개인정보에는 이름과 연락처,생년월일 등 기본 정보뿐만 아니라 암호화된 주민등록번호와 본인 주소부터 신장,체중,혈액형,종교,혼인경력(초혼·재혼),형제 관계,학력,직장명 등 한 사람의 삶과 성향이 담긴 민감 정보가 대거 포함됐다.

이에 대해 개인정보위는 “듀오는 정회원의 개인정보가 저장돼 있는 회원 DB에 접속하는 경우 일정 횟수 이상 인증에 실패할 때 접근을 제한하는 등 조치를 설정하지 않았고,주민등록번호와 비밀번호에 안전하지 않은 암호화 알고리즘을 적용하는 등 안전성 확보조치 의무 위반이 확인됐다”고 밝혔다.

또 듀오는 정회원 가입 시 주민등록번호를 별도 법적 근거 없이 수집·저장했으며,개인정보처리방침에 기재한 보유기간(5년)이 경과된 정회원 정보 29만8566건을 파기하지 않은 사실도 확인됐다.

여기에 유출을 확인했음에도 정당한 사유 없이 72시간을 경과해 유출 신고를 지연한 데다,개인정보가 유출됐음에도 해킹 사실을 정보 주체에게 통지하지 않는 등 2차 피해 방지 대응에 소홀했던 것으로 조사됐다.

개인정보위 관계자는 “과징금 및 과태료 처분과 함께 회원들에게 유출 통지를 즉각 실시할 것을 주문했다”며 “또한 유출사고 재발 방지를 위한 안전조치 강화와 서비스 제공에 필요 최소한의 정보를 수집하도록 개인정보 처리 방식 점검과 명확한 파기 지침 수립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 명령했다”고 밝혔다.

개인정보위는 이러한 처분을 받은 사실을 운영 중인 홈페이지에 공표하도록 주문했다.