티스토리 뷰
목차
저도 처음엔 국내 대형 OTT 플랫폼의 보안만큼은 믿을 만하다고 굳게 생각했습니다. 그런데 티빙 해킹으로 무려 1,953만 명의 개인정보가 유출되었다는 소식을 접하는 순간, 그 믿음이 통째로 흔들렸습니다. 유료 가입자 수의 네 배에 달하는 피해 규모, 그리고 평생 바꿀 수 없는 CI와 DI까지 털렸다는 사실이 단순한 해킹 사고를 넘어선 구조적 문제를 드러내고 있습니다.
티빙 해킹 피해규모
솔직히 이건 예상 밖이었습니다. 정부가 초기에 발표한 잠정 피해 규모는 약 1,300만 명이었는데, 이정헌 더불어민주당 의원실이 개인정보보호위원회와 과학기술정보통신부로부터 제출받은 자료를 통해 최종 규모가 1,953만 명으로 확인되었습니다. 무려 650만 명 이상이 초기 발표에서 누락되어 있었던 겁니다. 이로써 이번 사태는 쿠팡, 싸이월드·네이트, SK텔레콤에 이어 대한민국 역대 네 번째 규모의 개인정보 유출 사고로 공식 기록되었습니다(출처: 개인정보보호위원회).
제가 직접 확인해 보면서 가장 눈에 걸린 부분은 유출된 항목의 성격이었습니다. 아이디나 비밀번호는 털리면 즉시 바꾸면 그만입니다. 하지만 이번에 유출된 목록에는 CI와 DI가 포함되어 있습니다.
이번 유출에서 특히 위험한 항목을 정리하면 다음과 같습니다.
- CI(연계정보): 주민등록번호를 기반으로 생성되는 본인확인용 고유 식별 정보. 여러 온라인 서비스에서 동일인 여부를 확인하는 데 쓰이며, 한 번 생성되면 이용자가 직접 변경하거나 폐기하는 것이 사실상 불가능합니다.
- DI(중복가입확인정보): CI와 마찬가지로 사용자가 임의로 바꿀 수 없는 정보로, 동일인의 중복 가입 여부를 판별하는 데 활용됩니다.
- 환불 계좌번호: 금융 정보와 CI가 결합될 경우 스미싱, 비대면 대출 사기 등 2차 금융 범죄로 직결될 수 있습니다.
여기서 CI란, 쉽게 말해 디지털 공간에서의 주민등록번호와 같습니다. 비밀번호처럼 내가 원할 때 바꿀 수 없기 때문에, 한 번 유출되면 피해자는 평생 그 정보를 안고 살아가야 합니다. 목공 작업에 비유하자면, 나무 표면의 흠집은 사포질로 지울 수 있지만 중심 세포 조직이 썩어버린 원목은 복구가 불가능한 것과 같은 이치입니다. 겉을 아무리 오일로 닦아도 내부 손상은 그대로입니다.
또 하나 짚어야 할 점은 피해 규모가 티빙의 유료 가입자 수(약 500만 명)나 월간 활성 이용자 수(약 882만 명)를 크게 웃돈다는 사실입니다. 이는 이미 탈퇴한 회원의 데이터, 휴면 계정, 웨이브·디즈니플러스 결합 요금제 연동 계정, CJ ONE·네이버·카카오 제휴 연동 계정까지 파기하지 않고 DB 어딘가에 쌓아두었다가 통째로 털렸을 가능성을 강하게 시사합니다. 이미 서비스를 떠난 이용자들의 정보까지 기업이 보유하고 있었다는 점, 그리고 그 데이터를 제대로 관리하지 못했다는 점은 보안 불감증을 넘어 데이터 관리 의무 자체를 방기한 것으로 봐야 합니다.
3주간의 침묵: 대기업 보안 신뢰가 무너진 이유
일반적으로 대형 플랫폼이라면 보안 사고 발생 즉시 피해 규모를 신속하게 파악하고 이용자에게 투명하게 알릴 것이라고 알려져 있습니다. 저도 그렇게 믿어왔습니다. 매달 구독료를 내는 국내 탑티어 OTT 플랫폼이라면, 적어도 이용자들의 금융 정보와 고유 식별 데이터만큼은 단단하게 지켜줄 것이라는 나름의 신뢰가 작동하고 있었거든요.
그런데 제 경험상 이건 좀 달랐습니다. 티빙은 지난 2일 DB에 대한 무단 접근이 확인되었다고 공지를 올린 뒤, 해킹 사실을 알린 지 3주가 지나도록 자체적으로 피해 규모를 확정해 발표하지 않았습니다. 내세운 이유는 "자체 발표로 혼선을 주지 않기 위해 민관합동조사단의 발표를 기다리고 있다"는 것이었습니다. 저는 주말마다 목공 작업을 하면서 이런 상황을 떠올렸습니다. 상판 뒷면에 이미 깊은 크랙이 생겼는데, 그걸 인정하는 대신 겉에만 오일을 칠해 번지르르하게 눈속임하는 것과 다를 게 없어 보였습니다. 결국 피해 규모의 실체는 국회의원실이 정부 자료를 제출받는 방식으로 뒤늦게 드러났습니다.
민관합동조사단이란, 개인정보보호위원회·과학기술정보통신부 등 정부 기관과 민간 전문가가 공동으로 구성하는 사고 조사 기구입니다. 대형 개인정보 유출 사고 시 피해 규모와 원인을 공식 확인하는 역할을 맡습니다. 그런데 이번 사태에서 이 조사단의 존재가 오히려 티빙이 3주간 침묵을 유지하는 방패막이가 되었다는 점은 제도 운영 방식에도 문제가 있음을 보여줍니다(출처: 과학기술정보통신부).
스미싱이란, 문자 메시지를 통해 악성 링크를 클릭하도록 유도하여 금융 정보를 탈취하거나 악성코드를 설치하는 사기 수법입니다. CI와 금융 계좌 정보가 결합되면 스미싱의 타깃 정확도가 비약적으로 높아지기 때문에, 이번 유출의 2차 피해 가능성은 단순한 비밀번호 유출과 비교할 수준이 아닙니다.
9만 명이 넘는 이용자가 손해배상 청구 소송 참여 의사를 밝혔다는 사실은, 이번 사태가 단순한 사과문 한 장으로 마무리될 성질의 것이 아님을 말해줍니다. 제 개인적인 의견으로는, 현재 국내 법체계에서 대형 개인정보 유출 사고에 부과되는 과징금 수준이 기업이 실질적인 위기감을 느끼기엔 턱없이 낮습니다. 탈퇴 회원 데이터 즉시 파기 의무화, 제휴 연동 계정 보안 기준 강화, 그리고 2차 피해 발생 시 기업의 무한 책임을 명시한 제도적 장치가 마련되지 않는다면, 이런 사태는 반복될 가능성이 있습니다.
결국 이번 티빙 해킹 사태가 남긴 가장 냉혹한 교훈은 '대형 플랫폼이라는 이유만으로 보안을 신뢰해선 안 된다'는 것입니다. 제가 직접 이 사태를 들여다보고 난 뒤, 제 모든 온라인 서비스의 비밀번호를 점검하고 금융 계좌 알림 설정을 전면 재확인했습니다. 지금 이 글을 읽고 계신 분들도 티빙 계정을 이용했던 이력이 있다면, 연동된 금융 계좌와 SNS 계정의 로그인 기록부터 즉시 확인해 보시길 권합니다. CI는 바꿀 수 없지만, 2차 피해에 대비하는 시간은 아직 있습니다.
요즘은 정말 사이버 보안에 대한 중요성이 많이 큰 것 같습니다. 이와 관련된 기업도 이제 관심을 더 가져야할 때이며, 온라인 플랫폼 기업들은 제일 1순위로 중요시 여겨줘야 할 것입니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 법률 또는 금융 조언이 아닙니다. 손해배상 소송 참여나 법적 대응은 전문가와 상담하시기 바랍니다.
참고: https://newneek.co/@newneek/article/41877?utm_source=article&utm_medium=share&utm_content=41877