결혼정보업체 ‘듀오’ 해킹으로 42만 7,464명의 계좌 잔고·부동산 보유 내역·원천징수 내역까지 외부로 유출된 사실이 2026년 4월 개인정보보호위원회 조사로 공식 확인됐습니다. 단순한 이름·연락처 유출을 넘어 자산 정보까지 털린 이 사건은 민감 정보를 다루는 업계 전반의 보안 허점을 적나라하게 드러냈습니다. 이 글에서는 사건의 전말, 정부 처분, 그리고 피해자가 지금 당장 해야 할 대응 방법을 정리합니다.
핵심 요약
한 줄 정의: 듀오 해킹 사건은 2025년 1월 결혼정보회사 듀오의 직원 PC가 해킹당해 42만 7,464명의 신상·자산·혼인 이력 등 극도로 민감한 개인정보가 외부로 유출된 국내 최대 규모 결혼정보업계 개인정보 침해 사고입니다.
- 유출 규모: 정회원 42만 7,464명, 이름·주민번호·연락처·주소 등 기본 정보부터 계좌 잔고·부동산 보유 내역·원천징수 내역까지 포함
- 해킹 경로: 2025년 1월 개인정보 담당 직원의 업무용 PC가 악성코드에 감염되어 정보 탈취
- 법적 처분: 개인정보보호위원회, 과징금 11억 9,700만 원·과태료 1,320만 원 부과(2026년 4월 23일)
- 회사 과실: 암호 알고리즘 기준 미준수, 보유 기간 초과 정보 미파기, 해킹 인지 후 72시간 신고 지연, 피해자에게 유출 통지 미실시
- 현황: 해킹범은 1년 넘게 미검거, 회사는 피해 보상 계획 미제시
목차
- 핵심 요약 — 사건 핵심만 빠르게
- 어떤 정보가 얼마나 털렸나 — 유출 항목 전체 목록
- 해킹은 어떻게 일어났나 — 원인 분석 — 듀오의 보안 실패 3가지
- 개인정보보호위원회 처분과 법적 의미 — 과징금 11억9700만원의 배경
- 피해자가 지금 당장 해야 할 행동 — 2차 피해 예방 체크리스트
- 자주 묻는 질문 (FAQ)
- 마무리
- 핵심 체크리스트
어떤 정보가 얼마나 털렸나
단순 연락처를 넘어 자산·혼인 이력까지 포함된 역대급 민감 정보 유출 사례입니다.
결혼정보업체 듀오는 회원 가입 시 파트너 매칭을 위해 일반 플랫폼보다 훨씬 많은 개인 정보를 수집합니다. 이번 해킹으로 유출된 정보는 크게 기본 신상 정보, 신체·개인 특성 정보, 자산·소득 정보 세 범주로 나뉩니다.
| 분류 | 유출 항목 |
|---|---|
| 기본 신상 | 이름, 생년월일, 주민등록번호, 주소, 휴대전화번호 |
| 신체·개인 특성 | 신장, 체중, 혈액형, 종교, 취미, 혼인 경력, 가족 관계 |
| 학력·직업 | 최종 학력, 학교명, 직장명, 직급 |
| 자산·소득 | 계좌 잔고, 부동산 보유 내역, 원천징수 내역 |
계좌 잔고와 부동산 내역, 원천징수 내역은 회원들이 결혼 상대에게 자신의 경제력을 인증하기 위해 제출한 서류에서 비롯된 정보입니다. 결혼 목적으로만 사용되어야 할 이 자산 데이터가 해킹범의 손에 넘어간 것입니다. 연매출 483억 원 규모인 업계 1위 결혼정보회사에서 이 정도 규모의 자산 정보가 유출된 것은 국내에서 전례가 없는 수준입니다.
주민등록번호·계좌 정보의 2차 피해 가능성
주민등록번호와 계좌 잔고 정보가 동시에 유출될 경우 피싱·스미싱 공격의 정밀도가 크게 높아집니다. 공격자는 피해자의 실제 자산 규모를 알고 있기 때문에 “귀하의 계좌에서 비정상 출금이 발생했다”는 식의 맞춤형 사기 문자를 보낼 수 있습니다. 개인정보보호위원회에 따르면(2026년 4월) 현재까지 공식 확인된 2차 피해 사례는 없으나, 비밀번호와 주민등록번호 등 주요 항목이 암호화된 상태로 유출됐다는 점에서 향후 복호화 시도 위험은 여전히 남아 있습니다.
해킹은 어떻게 일어났나 — 원인 분석
듀오의 보안 사고는 해킹 기술의 문제가 아니라 기본 보안 수칙을 지키지 않은 인재(人災)에 가깝습니다.
개인정보보호위원회 조사 결과, 이번 해킹의 직접 원인은 2025년 1월 개인정보 담당 직원의 업무용 PC 악성코드 감염으로 확인됐습니다. 그러나 피해를 키운 구조적 원인은 세 가지로 정리됩니다.
원인 1 — 취약한 암호 체계
듀오는 정부기관이 고시한 암호 알고리즘 기준을 준수하지 않았습니다. 국가정보원과 한국인터넷진흥원(KISA)은 개인정보 보호를 위해 AES-256 등 검증된 암호 알고리즘 사용을 권고하고 있습니다. 또한 로그인 인증 실패가 반복될 때 접근을 제한하는 잠금 기능도 구현되어 있지 않아, 내부 시스템에 대한 비정상 접근 시도를 사실상 방치했습니다.
원인 2 — 개인정보 과보유 및 미파기
듀오는 개인정보처리방침에 ‘보유 기간 5년’을 명시했지만, 기간이 초과된 회원 정보를 파기하지 않았습니다. 심지어 서비스에서 탈퇴한 회원의 정보도 삭제 없이 보관된 상태였습니다. 또한 법적 근거 없이 회원 주민등록번호를 저장한 것도 개인정보보호법 위반 사항으로 지적됐습니다. 불필요하게 오래, 많이 보관된 정보가 해킹 피해를 더욱 크게 만들었습니다.
원인 3 — 사고 인지 후 지연 신고와 피해자 미통지
현행 개인정보보호법은 개인정보 유출 사실을 인지한 날로부터 72시간 이내에 관할 기관에 신고하도록 규정합니다. 듀오는 이 시한을 지키지 못했습니다. 더 심각한 것은 42만 7,464명의 피해자에게 유출 사실을 아직까지 제대로 통지하지 않았다는 점입니다. 민주사회를위한변호사모임(민변)은 이를 두고 “인간의 존엄과 가치, 사생활의 비밀과 자유를 침해한 행위”라고 강도 높게 비판했습니다.
개인정보보호위원회 처분과 법적 의미
2026년 4월 23일 개인정보보호위원회는 듀오에 과징금 11억 9,700만 원을 부과했지만, 피해 규모 대비 솜방망이 처벌이라는 비판이 나옵니다.
개인정보보호위원회는 2026년 4월 23일 듀오에 대해 과징금 11억 9,700만 원과 과태료 1,320만 원을 부과하고, 피해 회원에게 즉각 유출 사실을 통지할 것을 명령했습니다. 아울러 서비스 제공에 필요한 최소한의 정보만 수집하도록 개인정보 처리 방식 전반을 점검하고, 파기 지침을 명확히 수립하라는 시정 명령도 함께 내렸습니다.
| 처분 항목 | 내용 |
|---|---|
| 과징금 | 11억 9,700만 원 |
| 과태료 | 1,320만 원 |
| 시정 명령 | 피해 회원 즉각 유출 통지, 개인정보 처리 방식 개선, 파기 지침 수립 |
| 권고 | 최소 정보만 수집, 안전조치 강화 |
그러나 이 처분이 실질적인 억제력이 있는지에 대해서는 비판적인 시각이 많습니다. 연매출 483억 원인 업체에 부과된 과징금 11억 9,700만 원은 연매출의 2.5% 수준에 불과합니다. 인사이트 보도에 따르면, 한 피해자는 “내 인생 정보 값이 고작 3,000원이냐”는 반응을 보였습니다. 과징금이 43만 명 기준으로 나눠지면 1인당 약 2,786원에 해당하기 때문입니다. 민감 정보를 취급하는 업계에 대한 제재 수위가 구조적으로 낮다는 지적은 이번 사건으로 다시 한번 수면 위로 올라왔습니다. 관련 보안 이슈를 더 넓은 시각에서 이해하려면 국내 주요 개인정보 유출 사고 총정리와 스미싱 피해 예방 완벽 가이드도 참고해 보세요.
피해자가 지금 당장 해야 할 행동
듀오 전·현 회원이라면 2차 피해를 막기 위해 즉시 아래 조치를 취해야 합니다.
듀오 해킹의 가장 큰 문제는 피해자들이 자신의 정보가 유출됐는지조차 제대로 통보받지 못했다는 점입니다. 회사가 통지를 미루고 있는 사이에도 탈취된 정보는 이미 유통됐을 가능성이 있습니다. 특히 계좌 잔고와 부동산 내역, 주민등록번호가 함께 유출됐다면 금융 사기나 보이스피싱의 표적이 될 위험이 높아집니다.
즉시 실행할 5가지 조치
1. 금융계좌 모니터링 강화: 본인의 모든 금융계좌 거래 내역을 즉시 점검합니다. 금융결제원의 ‘어카운트인포’ 앱(계좌통합관리 서비스)을 통해 내 명의의 모든 계좌를 한 번에 조회할 수 있습니다.
2. 비밀번호 전면 변경: 듀오 가입에 사용한 이메일 계정과 동일한 비밀번호를 사용하는 모든 서비스의 비밀번호를 즉시 변경합니다. 2단계 인증(2FA)도 함께 설정합니다.
3. 개인정보 유출 조회: 개인정보보호위원회가 운영하는 개인정보 침해신고 포털(privacy.kisa.or.kr)에서 피해 신고 및 유출 여부 조회가 가능합니다.
4. 스미싱·보이스피싱 경계: 유출된 자산 정보를 이용한 맞춤형 사기 연락에 주의합니다. 금융기관·정부기관 사칭 연락을 받았다면 직접 공식 번호로 재확인합니다.
5. 신용정보 이상 모니터링: 주요 신용정보회사(나이스평가정보, KCB)의 신용 조회 알림 서비스에 가입하여 본인 모르게 대출 조회나 카드 발급 시도가 일어나는지 실시간으로 감지합니다.
자주 묻는 질문 (FAQ)
Q1. 내가 듀오 회원인지 모르는데, 피해 여부를 어떻게 확인하나요?
듀오 가입 이력이 있는 분은 개인정보보호위원회 산하 한국인터넷진흥원(KISA)의 개인정보 침해신고 포털(privacy.kisa.or.kr)에서 피해 사실을 신고하거나 상담을 받을 수 있습니다. 듀오 고객센터에 직접 문의하여 회원 여부와 유출 포함 여부를 확인하는 것도 권장됩니다. 개인정보보호위원회는 듀오에 피해 회원 즉각 통지를 명령했으므로, 곧 공식 통지가 발송될 예정입니다.
Q2. 과징금 11억 9,700만 원은 피해자에게 직접 지급되나요?
과징금과 과태료는 국가 재정으로 귀속되며 피해자에게 직접 지급되지 않습니다. 피해자가 손해배상을 받으려면 별도의 민사 소송을 제기해야 합니다. 민주사회를위한변호사모임(민변)이 피해자들을 위한 법적 지원 가능성을 검토 중이라는 보도가 나온 만큼, 집단 소송 움직임이 구체화될 경우 참여를 고려해볼 수 있습니다.
Q3. 듀오는 피해자에게 보상을 해주나요?
2026년 4월 현재 듀오는 구체적인 보상 계획을 공개하지 않았습니다. 회사 측은 보상 논의 가능성만 열어둔 상태입니다. 개인정보보호위원회의 시정 명령에는 보상 조치가 포함되지 않았기 때문에, 피해자가 실질적인 보상을 받으려면 민사 소송이나 분쟁조정위원회를 통한 절차가 필요합니다.
Q4. 듀오 해킹범은 잡혔나요?
헤럴드경제 보도에 따르면, 2026년 4월 현재까지 해킹범은 검거되지 않았으며 수사가 진행 중입니다. 해킹 발생 시점인 2025년 1월로부터 1년 이상 지났지만 범인이 특정되지 않은 상태입니다. 이는 국제 해킹 조직이 개입되었거나 증거 인멸이 정교하게 이루어졌을 가능성을 시사합니다.
Q5. 계좌 잔고와 부동산 정보가 유출되면 어떤 피해가 생길 수 있나요?
자산 정보와 주민등록번호가 함께 유출될 경우 금융 사기 범죄의 정밀도가 크게 높아집니다. 피해자의 실제 자산 규모를 파악한 공격자는 고액 계좌를 겨냥한 스피어피싱(개인 맞춤형 피싱), 부동산 관련 사칭 사기, 혹은 명의 도용을 통한 대출 시도 등에 해당 정보를 활용할 수 있습니다. 주민등록번호와 계좌 정보가 조합되면 금융기관의 본인 인증 절차를 우회하는 시도에도 사용될 수 있어 각별한 주의가 필요합니다.
마무리
결혼이라는 가장 사적인 삶의 결정을 위해 제출했던 43만 명의 정보가 해커의 손에 넘어갔습니다. 계좌 잔고와 부동산, 원천징수 내역까지 담긴 이 정보들은 단순히 교정하거나 변경할 수 없는 ‘인생 정보’입니다. 11억 9,700만 원의 과징금이 부과됐지만, 피해자 한 명당 2,786원 수준에 불과한 제재가 실질적인 억제력을 갖는지는 여전히 의문입니다. 민감 정보를 다루는 업체에 대한 보안 기준을 강화하고, 제재 수위를 실질적으로 높이는 제도 개선이 시급합니다. 본인이 듀오 가입 이력이 있다면 지금 바로 금융계좌 모니터링과 비밀번호 변경을 실행하세요. 이 글이 도움이 됐다면 주변의 듀오 가입자에게도 공유해 주세요.
핵심 체크리스트
- 듀오 가입 이력이 있다면 개인정보 침해신고 포털(privacy.kisa.or.kr)에서 피해 확인
- 금융결제원 ‘어카운트인포’ 앱으로 내 명의 전체 계좌 이상 거래 즉시 점검
- 듀오 가입에 사용한 이메일·비밀번호를 쓰는 모든 서비스 비밀번호 변경
- 주요 금융 서비스에 2단계 인증(2FA) 설정
- 나이스평가정보 또는 KCB 앱에서 신용 조회 알림 서비스 가입
- 금융기관·정부기관 사칭 전화·문자 수신 시 공식 번호로 재확인
- 집단 소송 참여 의사가 있다면 민변 등 법률 단체 공식 채널 모니터링
- 향후 결혼정보업체 이용 시 수집 정보 항목과 파기 정책 반드시 확인
