인싸잇=이다현 기자 ｜ CJ ENM의 온라인 동영상 서비스(OTT) 티빙에서 회원 개인정보 유출 사고가 발생했다. 신원 미상의 해커가 개인정보가 저장된 데이터베이스(DB)에 침입해 파일을 외부로 전송한 것으로 확인됐다. 과학기술정보통신부(과기정통부)와 개인정보보호위원회(개인정보위), 한국인터넷진흥원(KISA)이 동시에 조사에 착수했다.

2일 비인가 접근 확인, 3일 새벽 2시 신고... 10개 항목 유출

티빙에 따르면 2일 이용자들의 개인정보를 저장하는 DB에 비인가 접근이 이루어져 개인정보가 유출된 정황이 확인됐다. 이번 사고는 신원 미상의 해커가 개인정보가 저장된 DB에 접속해 개인정보 파일을 외부로 전송해 발생한 것으로 파악됐다. 

유출된 개인정보 항목은 아이디, 이름, 생년월일, 성별, CI(연계정보), DI(중복가입확인정보), 휴대폰 번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화), 이외 서비스 이용과 관련한 정보 등이다. 주민등록번호와 결제 관련 유효 정보는 보유하고 있지 않아 이번 유출과 무관하다고 티빙 측은 밝혔다.

개인정보위는 3일 오전 2시경 티빙으로부터 개인정보 유출신고를 접수받아 조사에 착수했다고 4일 밝혔다. 티빙은 유출 사실을 인지한 후 공격자 IP 접근을 차단하고 클라우드 접근 통제 정책을 변경했으며, DB 접속 모니터링을 강화하는 등 대응 조치를 취했다고 밝혔다.

CI 유출이 핵심 위험... “다른 정보와 결합되면 안심 못 해”

이번 유출에서 특히 주목되는 항목은 CI(연계정보)다. CI는 주민등록번호를 대체해 본인인증 시 생성되는 고유식별값으로, 사실상 ‘온라인 주민번호’에 해당한다. CI 단독으로는 계좌 개설이나 로그인이 불가능하지만, 이름·생년월일·전화번호 등 다른 정보와 결합되면 각종 명의 도용이나 금융 사기에 악용될 수 있다. 보안 전문가들은 CI가 한번 유출되면 재발급이 불가능하다는 점에서 단기적 피해 외에 장기적 위험을 안고 있다고 경고했다.

암호화된 항목들도 완전히 안전한 것은 아니다. 비밀번호는 단방향 암호화 상태로 유출됐는데, 단방향 암호화는 복호화가 불가능하지만 사전 공격이나 무차별 대입 공격으로 원문이 노출될 가능성이 있다. 환불 계좌번호와 이메일 일부, 전화번호 뒷자리도 암호화된 채 유출됐다.

과기정통부·개인정보위·KISA 동시 조사... 민관합동조사단 구성

과기정통부와 KISA, 개인정보위가 조사에 착수했다. 이어진 침해사고 조사 심의위원회에서 이번 사고가 중대한 사고에 해당해 민관합동조사단 구성이 필요하다는 결론이 나왔다. 조사단에는 과기정통부와 KISA 외에 포렌식·클라우드 서비스 분야 민간 전문가가 포함됐다.

과기정통부는 스미싱 등 2차 피해를 방지하기 위해 보호나라 누리집 대국민 보안 공지를 올렸다. 유출된 개인정보의 구체적인 규모와 피해 범위는 현재 조사 중이며 공개되지 않았다. 피해 이용자에 대한 개별 안내와 구제 절차는 추후 별도로 진행될 예정이다.

최주희 대표 공개 사과 “책임은 전적으로 티빙에”

최주희 티빙 대표이사는 3일 공개 사과문을 게재하고 “이용자 여러분께서 믿고 맡겨주신 정보를 지켜드리지 못했으며 그 책임은 전적으로 티빙에 있다”고 밝혔다. 최 대표는 “사고를 확인한 후 필요한 대응 조치를 시행했으며 현재 정부 및 관계 기관의 조사에 성실히 협조하고 있다”며 “진행 상황과 후속 조치는 투명하게 알려 드리겠다”고 말했다.

그러면서 “영향을 받으신 이용자께는 개별적으로 안내해 드리고 있으며 피해 구제와 이용자 보호를 위해 끝까지 책임지겠다”고 덧붙였다.

보안 전문가들은 티빙 이용자라면 즉시 비밀번호를 변경하고, 티빙과 동일한 계정 정보를 사용하는 다른 서비스의 비밀번호도 함께 바꿀 것을 권고했다.

출처 불명의 문자·이메일에 포함된 링크 클릭을 자제하고, 의심스러운 금융 거래가 발생하면 즉시 금융기관에 신고해야 한다.