- 그저 더 나은 결혼을 꿈꿨을 뿐인데 -
원래 이번 편은 다른 주제로 쓰려고 했다. 근데 기사 하나 보고 그냥 급선회했다. 이게 더 시의성 있으니까.
요즘 결혼정보회사에 가는 사람들, 딱히 특별한 사람들이 아니다. 그냥 나와 잘 맞는 사람을 좀 더 체계적으로 만나고 싶어서 가는 곳이다. 그래서 거기 가서 쓰는 설문지도 진심이다.
키, 몸무게, 혈액형, 학력, 직장, 종교, 취미, 혼인경력, 형제 관계, 장남인지 장녀인지까지.
직장 동료한테도 잘 안 하는 얘기를 약 150개 문항에 걸쳐 솔직하게 적는다. 더 잘 맞는 사람을 찾기 위해서.
듀오 정회원이라면 그랬을 거다.
그리고 그 고백들이 지난해 1월, 한 번에 다 털렸다.
개인정보보호위원회가 공식 발표한 유출 항목만 나열해도 숨이 찬다.
아이디, 비밀번호, 이름, 생년월일, 주민등록번호, 성별, 이메일, 휴대폰 번호, 주소. 여기까지는 그나마 익숙한 목록이다.
신장, 체중, 혈액형, 종교, 취미, 혼인경력, 형제 관계, 장남·장녀 여부, 학교명, 전공, 입학 연도, 졸업 연도, 학교 소재지, 직장명, 입사 연월.
여기까지만 해도 충분히 황당한데, 듀오가 선택 항목으로 수집하는 게 더 있다. 자가용 유무, 가족 소유 부동산, 경제력, 시부모 동거 여부, 건강 상태. 거기에 가족사항으로 부모 학력, 직업, 결혼 여부까지.
본인 스펙이 아니다. 집안 스펙이다.
직장인 커뮤니티 블라인드에서 누군가 이런 말을 남겼다.
"한 인간의 내면 빼고는 전부 다 알 수 있겠다."
과장이 아니다. 거의 맞는 말이다.
일반적인 해킹 사고는 이름이랑 전화번호가 나가도 크다고 한다. 이번 건은 그 사람이 재혼인지 초혼인지, 장남인지, 부모가 자가인지 전세인지까지 나갔다. 그것도 본인이 자발적으로, 가장 솔직하게 입력한 1차 데이터로. (신분증 위조도, 허위 등록도 없는 날 것의 정보다.)
결혼정보회사 데이터가 왜 유독 위험하냐고 묻는다면, 이유가 바로 거기 있다.
거창한 공격이 아니었다. 고도화된 APT도, 제로데이 익스플로잇도 아니다.
개인정보 취급 담당자의 업무용 PC가 악성코드에 감염됐다. 해커는 그 PC에서 DB 서버 계정 정보를 꺼냈다. 그리고 그 계정으로 서버에 접속해 전체 정회원 데이터를 그냥 내려받았다.
과정이 이렇게 단순한 데는 이유가 있었다.
DB 접속 시 인증 실패 횟수 제한이 없었다. (아무리 틀려도 잠기지 않는다는 뜻이다.) 주민등록번호와 비밀번호 암호화에는 이미 업계에서 취약하다고 정평이 난 알고리즘을 썼다. 거기에 결혼중개업법상 명시적 근거도 없는데 가입 때부터 주민등록번호를 받아왔다.
솔직히 말하면, 저 중 하나라도 제대로 됐으면 이 정도 사고는 아니었다. 근데 셋 다 동시에 무너져 있었다.
처음 배우는 신입한테도 가르치는 기본 중의 기본들이.
사고 시점이 2025년 1월이다. 대외에 알려진 건 2026년 4월이다.
1년 3개월이다.
그 사이에 듀오는 사고를 파악하고도 72시간 내 신고 의무를 어겼다. 피해 회원에게 통지도 하지 않았다. 43만 명이 자기 정보가 어딘가에 돌아다니는지도 모른 채 1년 넘게 살았다. 사고가 드러난 계기도 자진 신고가 아니라 개인정보보호위원회 조사였다.
이전에 병원 편에서도 한 번 썼지만, 이미지가 생명인 업종일수록 조용히 넘기려는 유인이 강하다. 근데 결국 이렇게 된다. 더 크게, 더 늦게 터진다. 그리고 조용히 있던 그 시간 동안 피해는 고스란히 회원들 몫이 된다. (조용한 게 괜찮은 게 아니라, 조용히 당하고 있다는 거다. 병원 편에서도 같은 말을 했던 것 같은데.)
개인정보보호위원회가 부과한 과징금은 11억 9,700만 원이다.
42만 7,464명으로 나누면 1인당 약 2,700원이다.
내가 매일 아침에 사 먹는 그란데 사이즈아메리카노 반 잔 값이다.
현행법상 과징금은 관련 매출액의 최대 3% 내에서 산정한다. 듀오 연평균 매출 약 413억 원 기준에 중기업 감경까지 적용하면 저 숫자가 나온다. 위원회가 잘못한 게 아니다. 법이 그렇게 만들어져 있으니까. (회사를 탓하기엔 당연하고, 법을 탓하기엔 너무 늦었다. 결국 피해자만 찜찜한 구조다.)
다크웹에서 신용카드 정보 한 건이 1~2달러라면, 결혼정보회사 회원 한 명 프로필은 그보다 훨씬 비싸게 거래된다. 부모 재산에 집안 스펙까지 붙은 데이터라면 더 말할 것도 없다. 피해의 무게랑 처벌의 무게가 아직 안 맞는다. 그리고 그 간극을 제일 잘 아는 건 피해자도, 위원회도 아니고, 해커다.
해커에게 2,700원짜리 데이터는 없지만, 기업에게 2,700원짜리 책임은 존재한다.
이 사건이 유독 씁쓸하고 내가 화나는 이유는, 피해자들이 나쁜 마음을 품고 간 게 아니라는 거다.
그냥 좋은 사람 만나고 싶었던 거다. 잘 맞는 사람이랑 행복하게 살고 싶었던 거다. 그래서 평소엔 꺼내지도 않을 얘기들을, 딱 그 목적 하나로 솔직하게 써냈을 거다.
그 진심이 1년 넘게 방치됐다.
기술적인 문제는 사실 간단하다. 인증 실패 제한 걸고, 암호화 제대로 하고, 계정 관리 하면 된다. 이미 다 알려진 것들이다. 문제는 그걸 안 해도 된다고 생각한 거다. 혹은 알면서도 안 한 거다.
그 판단의 대가는 43만 명이 치렀다.
2003년에도 듀오에서 회원 30만 명 정보가 유출된 적이 있다. 주민등록번호, 학력, 연봉이 나갔다. 그로부터 20여 년이 지나서 같은 회사에서 비슷한 사고가 났다. 이건 기술의 문제가 아니라 의지의 문제다. 그리고 솔직히, 그 의지가 안 생기는 이유도 이해는 간다.
사고 안 나면 아무도 몰라주고, 사고 나도 과징금은 1인당 아메리카노 반 잔 금액이니까.