개보위 전체회의록 보니…"이행강제금 도입 등 제도 보완 필요"
(서울=연합뉴스) 김주형 기자 = 결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 신체조건, 혼인경력, 직업, 학력, 자산 등 민감한 프로필 정보가 대거 유출된 것으로 드러난 23일 서울 강남구 역삼동에 있는 듀오 본사에 간판이 보인다. 개인정보보호위원회에 따르면 작년 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당해 정회원 42만7천464명의 개인정보가 외부로 유출됐다. 유출된 개인정보는 아이디, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일주소, 휴대 전화번호, 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제 관계, 장남·장녀 여부, 학교명, 전공, 입학 연도, 졸업 연도, 학교 소재지, 입사 연월, 직장명 등이다. 2026.4.23 kjhpress@yna.co.kr
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회 위원들이 결혼정보회사 듀오의 회원정보 유출 사건을 심의하면서 민감한 개인정보를 다수 보유하고 있음에도 1년 3개월간 피해자에게 유출 사실을 알리지 않은 점을 강하게 질타한 것으로 드러났다.
다만 현행법상 유출통지를 이행하지 않는 사업자에 대한 제재는 과태료에 그쳐 제도 보완이 필요하다는 지적도 이어졌다.
21일 개인정보위가 공개한 지난 4월 22일 제7회 전체회의 속기록에 따르면 위원들은 듀오 회원 42만7천464명의 개인정보 유출 사건을 심의하면서 개인정보 수집 방식부터 사고 이후 대응까지 전반적인 개선이 필요하다는 의견을 잇달아 제시했다.
이번 사건은 2025년 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당하면서 발생했다.
당시 회원 42만7천464명의 주민등록번호를 비롯해 신장, 체중, 종교, 혼인경력, 가족관계, 직장명, 학력 등 민감도가 높은 개인정보가 외부로 유출됐다.
특히 듀오는 올해 4월 개인정보위가 사건을 심의할 당시까지도 피해 회원들에게 유출 사실을 개별 통지하지 않아 문제가 됐다.
듀오 측은 회원 피해 범위를 신중하게 확정하기 위해 유출 통지가 일부 지연됐고 홈페이지 공지와 회원 안내 등을 통해 사고 사실을 전달했다고 주장했다.
그러나 개인정보위 사무처는 개인정보보호법은 정보주체의 연락처가 없는 등 정당한 사유가 있는 경우에만 홈페이지를 통한 유출 통지를 허용하고 있는데, 듀오는 회원 연락처를 보유하고 있었고 전체 정회원 정보가 유출돼 대상자가 특정되는 만큼, 이 같은 주장을 받아들이지 않았다.
(서울=연합뉴스) 김주형 기자 = 결혼정보회사인 주식회사 듀오정보(듀오)에서 회원 43만명의 신체조건, 혼인경력, 직업, 학력, 자산 등 민감한 프로필 정보가 대거 유출된 것으로 드러난 23일 서울 강남구 역삼동에 있는 듀오 본사에 부서안내 간판이 보인다. 개인정보보호위원회에 따르면 작년 1월 듀오에서 개인정보를 취급하는 직원의 업무용 PC가 해킹당해 정회원 42만7천464명의 개인정보가 외부로 유출됐다. 유출된 개인정보는 아이디, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일주소, 휴대 전화번호, 주소, 신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제 관계, 장남·장녀 여부, 학교명, 전공, 입학 연도, 졸업 연도, 학교 소재지, 입사 연월, 직장명 등이다. 2026.4.23 kjhpress@yna.co.kr
이정렬 개인정보위 부위원장은 "연락처를 다 갖고 있는데 1년 3개월이 지나도록 유출 사실을 통지하지 않았다"며 "법상 통지 기한은 최대 3일인데 이미 다 지났다"고 지적했다.
이어 "지금이 결혼 성수기이고 이런 것들을 이유로 통지하지 않는 것일 수도 있다"며 "의심의 여지가 없기 때문에 즉시 통지할 수 있도록 (의결서에) 강하게 표현돼야 한다"고 주문했다.
윤영미 위원이 "끝까지 유출통지를 하지 않으면 실효를 거둘 방법이 없느냐"고 묻자 남석 당시 개보위 조사조정국장은 "현재는 시정명령을 하고, 이행하지 않으면 일단 과태료 처분을 한다. 향후 법 개정을 통해 이행강제금 제도 등을 도입해 실질적으로 이행이 담보될 수 있도록 노력하겠다"고 답했다.
송경희 개인정보위 위원장도 "개인정보가 유출된 뒤 2차 피해로 이어졌는지를 사실상 확인하기 매우 어렵고, 국민에게 피해가 발생했더라도 어디서 유출된 정보를 활용했는지 알기 어렵다"며 "(듀오 역시도) 2차 피해가 없다고 단정하기도 매우 어려운 사건"이라고 지적했다.
이어 "피해자 통지가 아직도 이뤄지지 않은 심각한 상황인데도 우리 법에 따라서는 과태료 처분밖에 할 수 없는 만큼 실태점검과 제도 개선을 통해 이런 부분을 강화할 필요가 있다"고 강조했다.
개인정보위는 당시 전체회의에서 듀오에 과징금 11억9천700만원과 과태료 1천320만원을 부과하고 피해 회원들에게 유출 사실을 즉시 통지하도록 시정명령을 내리는 제재안을 의결했다.
현행법상 과징금은 관련 매출액을 기준으로 산정되고 듀오가 중기업에 해당해 감경되면서 사안의 심각성에 비해 제재 수위가 낮다는 지적이 나오기도 했다.
일부 피해자들은 소송을 진행 중이다.
법무법인 LKB평산이 대리하는 듀오 개인정보 유출 손해배상 소송의 원고는 지난 16일 기준 총 1천72명으로, 1인당 100만원의 손해배상을 청구했다.
이 가운데 원고 46명이 제기한 1차 소송은 서울중앙지법에서 조정 절차가 진행되고 있다.
chacha@yna.co.kr