X
최상단배너 최상단배너 최상단배너 최상단배너

'티빙'도 개인정보 유출…'CI'까지 털려 2차 피해 우려

이 기사 AI가 핵심만 딱!
애니메이션 이미지
구독
김현아 기자I 2026.06.03 16:01:49

과기정통부·KISA 침해사고 조사 심의위 개최
"CI 유출은 일반 개인정보 유출과 차원 달라"
계정 탈취·명의도용 등 2차 피해 우려
네이버 플러스 멤버십 가입 등 주의 필요
민관합동조사단 꾸리기로

[이데일리 김현아 기자] 국내 온라인동영상서비스(OTT) 플랫폼인 티빙에서 개인정보 유출 사고가 발생한 가운데, 유출 항목에 주민등록번호 대체 식별 수단인 CI(연계정보)가 포함된 것으로 알려지면서 정부와 보안 업계가 긴장하고 있다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 티빙의 침해사고 신고를 접수한 뒤 3일 긴급 침해사고 조사 심의위원회를 개최하고 사고 경위와 피해 규모 파악에 착수했다. 선거일 오전 회의가 열린 것은 사안의 시급성을 반영한 것으로 풀이된다.

티빙은 지난 2일 개인정보 저장 데이터베이스(DB)에 대한 비인가 접근 사실을 확인한 뒤 3일 이용자들에게 개인정보 유출 사실을 통지했다. 회사 측에 따르면 신원 미상의 해커가 DB에 접속해 개인정보 파일을 외부로 전송한 것으로 파악됐다.

유출된 정보는 아이디, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호, CI(연계정보), DI(중복가입확인정보) 등이다. 티빙은 휴대전화번호 일부와 이메일, 계좌번호는 암호화돼 있었고 비밀번호는 단방향 암호화 상태로 저장돼 있었다고 설명했다.

[이데일리 이미나 기자]
“CI 유출은 일반 개인정보 유출과 차원 달라”

보안 전문가들은 특히 CI 유출 사실에 주목하고 있다.

익명을 요구한 정보보호 분야 교수는 “현재 티빙이 공개한 정보만으로는 개인정보 저장 DB(데이터베이스)만 뚫렸는지 다른 핵심 시스템도 해킹당했는지 등 정확한 침해 범위와 공격 경로를 단정하기 어렵다”면서 “CI가 유출됐다면 일반 개인정보 유출보다 훨씬 심각하게 볼 필요가 있다”고 말했다.

CI는 주민등록번호를 직접 사용하지 않기 위해 도입된 본인확인용 식별정보다. 사이트마다 달라지는 DI(중복가입확인정보)와 달리 동일 이용자에게 일관된 값이 부여되는 특성이 있어 여러 서비스의 정보를 연결하는 데 활용될 수 있다.

전문가들은 해커가 다른 경로에서 확보한 개인정보와 이번 유출 정보를 결합할 경우 특정 개인에 대한 정보 분석이 한층 쉬워질 수 있다고 지적한다. 다만 CI만으로 금융계좌 개설이나 본인인증이 가능한 것은 아니며, 실제 명의도용을 위해서는 추가 인증 정보 확보가 필요하다.

암호화됐어도 안심은 금물...네이버 플러스 멤버십 등 주의 필요

티빙은 주요 정보가 암호화돼 있다고 설명했지만, 보안 전문가들은 이용자들이 안심하기에는 이르다고 지적한다.

특히 여러 서비스에서 동일한 아이디와 비밀번호를 사용하는 이용자의 경우, 해커가 유출된 정보를 다른 사이트에 무작위로 대입해 로그인을 시도하는 이른바 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격에 노출될 수 있다.

티빙의 월간 활성 이용자(MAU)가 약 770만 명에 달하는 만큼, 사고의 잠재적 영향 범위도 상당할 것으로 보인다.

다만 네이버나 카카오 등 간편로그인 서비스를 이용한다고 해서 티빙에서 유출된 CI(연계정보)만으로 해당 플랫폼 계정이 즉시 탈취되는 것은 아니다. 로그인 인증 권한은 각 플랫폼 사업자가 별도로 관리하기 때문이다.

그러나 과거 네이버플러스 멤버십 등 제휴 연동을 통해 티빙 서비스를 이용했던 가입자들은 “현재는 계약 관계가 종료되었다” 하더라도 결코 안심할 수 없다는 지적이 나온다. 연동 흔적과 함께 유출된 CI의 특성상, 계약 종료 여부와 상관없이 잠재적 위협이 지속되기 때문이라는 게 보안 전문가의 설명이다.

가장 큰 이유는 CI가 주민등록번호를 기반으로 생성되어 평생 변경할 수 없는 ‘영구적 고유 식별값’이기 때문이다. 비록 현재는 양사의 연동 서비스가 종료되었을지라도, 유출된 CI는 과거와 현재의 동일인을 완벽하게 매칭해주는 일종의 ‘디지털 지문’으로 남게 된다.

결과적으로 해커가 이번에 유출된 CI를 확보하게 되면, 다크웹 등 다른 경로에서 유출된 타 플랫폼의 개인정보(ID·비밀번호 등)와 이를 정밀하게 대조·결합할 수 있게 된다. 이를 통해 과거 연동 흔적이 있던 특정 이용자의 네이버 계정을 역추적해 알아내거나, 연쇄적인 명의 도용 및 크리덴셜 스터핑(계정 탈취 공격)으로 악용할 가능성을 완전히 배제하기 어렵다는 것이 전문가들의 경고다.

다만 전문가들은 현재 공개된 정보만으로 실제 추가 피해 가능성을 단정하기는 어렵다며, 이용자들은 비밀번호를 즉시 변경하고 의심스러운 문자나 이메일에 각별히 주의해야 한다고 조언했다.

민관합동조사단 구성…“비밀번호 즉시 변경해야”

정부는 과기정통부와 KISA를 중심으로 민관합동조사위를 꾸려 사고 원인과 보안 취약점 여부를 조사하기로 했다. 개인정보보호위원회도 개인정보 유출 규모와 법 위반 여부를 확인할 전망이다.

티빙은 전담 피해 접수 창구인 CX팀(1551~2391)을 운영하며 이용자 피해 구제 절차를 지원하고 있다.

보안 전문가들은 이용자들에게 티빙 비밀번호를 즉시 변경하고, 동일한 아이디와 비밀번호를 사용하는 다른 서비스의 계정 정보도 함께 변경할 것을 권고했다. 또한 출처가 불분명한 문자메시지나 이메일, 전화 등에 각별히 주의해야 한다고 당부했다.

이 기사 AI가 핵심만 딱!
애니메이션 이미지

연이은 해킹 사태

- 티빙 대규모 해킹 사태… 보안 투자 감축·‘겸직 팀장급’ 지배구조 도마 위 - 과기부, 티빙 개인정보 유출 사태에 민관합동조사 나서 - 최주희 티빙 대표이사 “개인정보 유출 책임 통감”…사과문 게시

주요 뉴스

2026지선

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지

댓글