결혼정보업체 '듀오' 해킹 사고로 회원 계좌 잔고와 부동산 보유 내역 등도 유출된 것으로 확인됐다.

26일 과학기술정보통신부가 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실에 제출한 침해사고 신고서에 따르면 '듀오' 해킹 사고는 지난해 1월 28일 발생했다.

해커는 회원 데이터베이스 접근 권한이 있는 PC에 원격 접속해 약 42만 명의 개인 정보를 빼냈다. 듀오는 지난해 2월 3일 피해 사실을 인지하고 이튿날 정부에 신고했다.

해킹 원인으로는 '취약한 암호 체계'가 지목된다. 최 의원실에 따르면 듀오는 한국인터넷진흥원(KISA)의 '암호 알고리즘 및 키 길이 이용 안내서' 기준을 준수하지 않았다.

듀오는 개인정보보호위원회가 2024년 배포한 '개인정보 안정성 확보 조치 기준 안내서'가 권장한 '안전한 암호 알고리즘'도 사용하지 않았다.

이번 사고로는 회원의 이름과 생년월일, 성별, 연락처 등 기본 정보와 신장, 체중, 혈액형, 종교, 혼인 경력 등 민감정보가 유출됐다.

특히 피해 범위에는 회원이 인증을 위해 제출한 자산 증빙 자료와 원천징수 내역이 포함돼 논란이 됐다.

듀오는 개인정보 보관기관인 5년이 지났거나 서비스를 탈퇴한 회원의 정보도 파기하지 않고 보관한 것으로 드러났다.

최 위원장은 "개인 간 만남을 중개하는 기업이 정부 지침을 어긴 것은 무책임한 처사"라며 "민감정보 수집 기업에는 별도의 보안 대책을 마련해야 한다"고 강조했다.

한편, 개인정보보호위원회는 듀오에 개인정보 유출 사고 관련 과징금 11억 9700만 원과 과태료 1320만 원을 부과했다.

minjae@news1.kr