티빙 CI·DI 유출에 2차 피해 우려…"보상안 다방면 검토"

"정부 조사에 성실하게 응할 것"

온라인동영상서비스(OTT) 티빙에서 회원 개인정보 유출 사고가 발생한 가운데 암호화 값인 연계정보(CI), 중복가입확인정보(DI)도 빠져나가면서 2차 피해가 우려된다.

티빙 로고. 티빙 제공

4일 정부와 티빙에 따르면 과학기술정보통신부는 민관합동조사단을 꾸려 티빙 유출 사고의 원인과 피해 현황 파악에 착수했다. 현재 원본 데이터를 들여다보고 있는 것으로 전해졌다.

앞서 티빙은 전날 새벽 공지를 통해 ID와 이름, 생년월일, 성별, CI, DI, 휴대폰 번호(마지막 네자리 암호화), 이메일(도메인 제외 ID 부분 암호화) 등이 유출됐다고 안내했다. 사이버 공격이 있었던 것은 지난 1일이며 이튿날 개인정보 유출 사실을 인지하고, 공격자의 IP 접근을 차단했다.

하지만 CI와 DI가 유출되면서 해커가 다른 웹사이트나 금융 플랫폼의 유출 데이터와 결합해 동일인을 식별할 수 있게 됐다. 암호화 값이 주민등록번호를 기반으로 생성돼 명의도용이나 타깃형 스미싱에 악용되곤 한다. 이 경우 특정인의 온·오프라인 동선부터 소비 성향까지 꿰어맞출 수 있다. 정부가 중대한 침해 사고로 판단하고 조사단을 꾸린 이유다.

특히 티빙은 지난해 12월 타 사이트 유출 계정들로 무차별 대입 로그인을 시도하는 '크리덴셜 스터핑'이 감지돼 보안 취약점이 노출됐을 가능성도 제기된다. 당시에는 방어하는 입장이었다면 이번에는 네이버플러스 멤버십이나 통신사 제휴 등 티빙과 계정이 연동된 다른 서비스에 2차 피해를 유발할 수 있다.

티빙은 유출 규모를 밝히지 않았으나 현재 유료가입자 수는 500만명 안팎, 월간 활성 이용자 수(MAU)는 770만~800만명으로 추산된다. 티빙 관계자는 "이번 유출 사고의 영향을 받은 고객 범위를 확인하는 등 정확한 규모를 조사하고 있다"며 "저희가 준비할 수 있는 만큼 보상안도 마련할 것"이라고 덧붙였다.

한편, 민관합동조사와 별개로 개인정보보호위원회 역시 관련 법 위반 여부를 살피기 위해 사실관계를 파악 중이다. 개인정보위는 "전날 새벽에 신고가 접수돼 관련 절차를 이행하고 있다"고 전했다. 티빙은 과실이 드러날 경우 전체 매출의 최대 3%까지 과징금 처분을 받을 수 있다. 지난해 티빙 매출은 4059억원 규모다. 전체 매출액의 최대 10%를 적용하는 개인정보보호법 개정안은 오는 9월부터 시행이어서 해당하지 않는다.

노경조 기자 felizkj@asiae.co.kr

이 기사 어땠나요?

• 
  쏠쏠 0
• 
  공감 0
• 
  감동 0
• 
  유감 0
• 
  후속 0