한국, 데이팅업체 정보 유출에 121억 원 벌금 🔥

원본 기사:  South Korea fines matchmaking agency over leak of sensitive user data  |  Yahoo Finance

📌 핵심 요약

한국의 개인정보 보호당국이 한 결혼 중개업체에 막대한 벌금을 부과했다. 이용자의 체중, 혈액형, 이전 결혼 여부 등 민감한 개인정보가 유출된 데 대한 제재다.

South Korea's data protection agency said on Thursday it has fined a matchmaking service over the leak of its members' sensitive personal information, including their weight, blood type and whether they were previously married.

개인정보보호위원회는 해당 업체가 회원 데이터베이스 보호를 위한 충분한 조치를 취하지 않았고, 작년 사이버 공격 후 대응이 늦었다고 밝혔다. 이에 121억 원의 과징금을 부과하고, 데이터 처리 방식 개선과 사건 전모 공개를 명령했다.

The Personal Information Protection Commission said in a statement the company, Duo, failed to implement adequate measures to safeguard their membership database and was slow to take action after its system was hacked last year. It ordered Duo to pay a 1.21 billion won ($815,400) fine, take corrective action to improve how it handles personal data and to fully disclose details of the incident.

민감 정보 대량 유출, 42만 명의 개인정보 뚫렸다

지난 1월, 해커들이 결혼 중개업체 '듀오(Duo)'의 데이터베이스에 무단 접속해 42만 명 이상의 개인정보를 다운로드했다. 현재 회원뿐 아니라 탈퇴한 전 회원까지 포함된 정보가 유출된 것으로, 단순한 보안 사고를 넘어 개인정보 관리 전반의 구조적 문제를 드러냈다. 유출된 정보는 이름, 연락처, 주소, 졸업 학교, 직장뿐 아니라 체중, 혈액형, 이전 결혼 여부, 국적 등 일반적인 SNS 정보를 훨씬 넘어서는 민감한 내용이었다. 특히 혈액형과 체중 같은 정보는 한국 사회에서 연애 및 결혼 상대 평가에 종종 활용되는 특수한 맥락을 고려하면, 단순한 프라이버시 침해를 넘어 사회적 낙인이나 2차 피해로 이어질 가능성도 배제할 수 없다.

더 큰 문제는 이 정보들이 얼마나 오랫동안 무방비 상태로 노출됐는가였다. 개인정보보호위원회는 듀오가 해킹 발생 후에도 신속한 대응을 하지 않았으며, 시스템 침입 탐지나 백업·복구 절차도 부실했다고 지적했다. 해킹이 처음 감지된 후에도 수일간 추가 조치가 없었고, 회원들에게도 지연 공지가 이뤄졌다. 이는 단순한 외부 공격을 넘어서, 내부 보안 관리의 전면적 실패를 의미한다.

개인정보 보관 규정 위반, 5년 전 데이터 삭제도 안 해

이번 사건에서 듀오는 단순한 해킹 피해자로 머무르지 않았다. 개인정보보호위원회 조사 결과, 듀오는 개인정보 수집 및 보관 규정도 위반한 것으로 드러났다. 특히 문제시된 건 ‘주민등록번호’와 ‘비밀번호’ 같은 고도 민감 정보를 암호화되지 않은 형태로 보관하거나, 불필요하게 오래 보존한 점이다. 한국의 개인정보 보호법은 5년 이상 경과한 개인정보는 원칙적으로 삭제해야 하며, 주민번호는 암호화 의무가 있지만, 듀오는 거의 30만 명에 달하는 전 회원의 오래된 데이터를 삭제하지 않은 채 방치했다.

이러한 관행은 많은 기업에서 관행처럼 여겨졌지만, 최근 정부의 감시가 강화되면서 더 이상 용납되지 않는다. 특히 듀오처럼 민감한 정보를 다루는 서비스는 법적 책임이 더 크다. 개인정보보호위원회는 이번 제재를 통해 “기업이 개인정보를 자산처럼 취급해선 안 되며, 일정 기간 경과 후에는 반드시 폐기해야 한다”는 원칙을 다시 한번 강조했다. 이는 단순한 사내 정책 차원을 넘어, 법적 의무라는 점에서 향후 다른 플랫폼에도 경고 신호로 작용할 것으로 보인다.

듀오, 한국 대표 데이팅 앱… 하지만 보안은 뒷전?

듀오는 한국에서 가장 오래되고 신뢰받는 결혼 중개 서비스 중 하나다. 공식 웹사이트에 따르면, 지금까지 5만 3천 건 이상의 결혼을 성사시켰고, 하루 평균 7쌍이 듀오를 통해 결혼한다고 밝히고 있다. 현재 활성 회원만 3만 6천 명에 달하며, 프리미엄 요금제를 기반으로 한 서비스로, 신원 확인과 심층 인터뷰를 거치는 등 ‘신뢰성’을 강조해왔다. 이 때문에 이번 사건은 소비자 신뢰에 큰 타격을 줬다.

회사 측은 “탐지하거나 예방하기 극도로 어려운 해킹 공격이 원인”이라며 기술적 한계를 주장했지만, 정부와 전문가들은 “이미 알려진 취약점을 보완하지 않은 책임”이 더 크다고 지적한다. 실제로 해커는 오래된 서버 소프트웨어의 보안 구멍을 통해 침투한 것으로 알려져, 정기적인 보안 점검만 이뤄졌어도 사전 차단이 가능했을 수 있다. 듀오는 성명에서 “회원들의 개인정보 보호에 충분히 대비하지 못한 점을 깊이 반성한다”며 사과했지만, 이미 흩어진 데이터를 되돌릴 순 없다.

한국, 개인정보 보호 시대 진입… 연이은 제재에 기업들 긴장

이번 듀오 제재는 한국 정부가 개인정보 보호를 더 이상 허술하게 다루지 않겠다는 강력한 메시지다. 최근 들어 네이버, 카카오, 배달의민족, 쿠팡 등 주요 플랫폼들이 데이터 유출이나 부당한 수집 혐의로 제재를 받으며, 정부의 감시망이 점점 촘촘해지고 있다. 특히 2020년 개인정보 보호법 개정 이후 과징금 한도가 대폭 상향되면서, 기업들은 보안 투자에 박차를 가하고 있다.

국민들의 개인정보에 대한 인식도 높아지고 있다. 과거에는 ‘편의성’을 이유로 개인정보 제공을 흔쾌히 수용했지만, 이제는 유출 사고 후 2차 범죄(스토킹, 보이스피싱 등) 발생 우려로 인해 보다 민감하게 반응한다. 정부도 이런 사회적 분위기를 등에 업고, 침해 사고 발생 시 ‘기업 책임 전가’가 아닌 ‘예방 책임’을 강조하는 방향으로 정책 기조를 전환하고 있다.

결국 이번 듀오 사례는 단순한 해킹 사건을 넘어, 한국 사회의 디지털 신뢰 인프라가 어떻게 작동해야 하는지를 다시금 묻는 계기가 됐다. 개인정보는 더 이상 ‘관리 대상’이 아니라 ‘보호해야 할 기본권’이라는 인식이 자리 잡아가고 있는 것이다.