CJ ENM의 온라인동영상서비스(OTT) 티빙(TVING)에서 개인정보 유출 사태가 발생한 가운데 연계정보(CI) 등 개인을 특정할 수 있는 민감 정보도 포함된 것으로 나타났다. 해킹이 국내 대표 OTT까지 강타했다. 현재 티빙은 정확한 유출 규모를 조사 중으로, 유출 인원 규모 등이 향후 파장을 좌우할 전망이다.
티빙은 3일 “비인가된 접근으로 인해 회원 개인정보가 유출된 사실을 확인했다”고 공지했다.
티빙에 따르면 이번 개인정보 유출은 신원 미상의 해커가 개인정보가 저장된 DB에 접속해 파일을 외부로 전송하는 방식으로 발생한 것으로 확인됐다. 티빙이 유출 정황을 인지한 것은 지난 2일이다.
유출된 개인정보는 아이디, 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대폰 번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화), 이외 서비스 이용과 관련한 정보 등이다.
CI와 DI는 본인 확인 및 중복 가입 여부 확인에 활용되는 고유 식별값으로, 개인을 특정할 수 있는 민감한 정보다. 주민등록번호와 결제 관련 유효 정보는 티빙이 보유하고 있지 않아 유출 대상에 해당하지 않는다고 회사 측은 설명했다.
티빙은 유출 사실을 인지한 즉시 공격자 IP 접근을 차단하고 클라우드 접근 통제 정책을 변경했으며, DB 접속에 대한 모니터링을 강화하는 등 대응 조치를 취했다. 관련 법령에 따라 한국인터넷진흥원(KISA)에도 신고해 사고 원인과 피해 범위를 조사 중이다.
티빙은 “혹시 모를 피해 예방을 위해 동일한 계정 정보를 사용하는 티빙 및 기타 서비스의 비밀번호 변경을 권장한다”고 당부했다.
티빙 측은 피해 접수 담당 부서를 지정하고 전용 전화 및 이메일을 공지했다. 향후 고객센터에 접수된 피해 사례를 확인한 뒤 구제 절차를 지원할 방침이다.
티빙은 이번 사고 이전에도 보안 위협에 노출된 바 있다. 지난해 12월 다크웹에 유통된 타 서비스의 계정 정보로 티빙 로그인을 시도하는 '크리덴셜 스터핑' 공격이 탐지됐다. 당시 티빙은 공격 시도 IP를 차단하고 KISA에 신고했으며, 개인정보 유출은 발생하지 않았다고 밝혔다.
개인정보 유출에 따라 행정처분이 이뤄질지 주목된다. 개인정보보호위원회는 개인정보 유출 사고가 발생한 기업에 대해 전체 매출액의 최대 3%까지 과징금을 부과할 수 있다. 앞서 개인정보 유출이 발생했던 기업들도 수십억원 대의 과징금을 부과받았다.
다만 처분 수위는 정확한 피해 규모가 관건이 될 전망이다. 티빙은 아직 영향을 받은 이용자 규모를 공개하지 않고 있으며, 정확한 공지를 위해 조사를 진행 중이라고 밝혔다.
최다현 기자 da2109@etnews.com
