투데이e코노믹 = 우혜정 기자 | 국내 온라인동영상서비스(OTT) 티빙에서 발생한 개인정보 유출 사고의 파장이 커지고 있다. 가입자들의 이름과 생년월일, 연락처는 물론 온라인 본인 식별에 활용되는 연계정보(CI)까지 유출된 것으로 확인되면서 이용자들의 우려가 확산되는 가운데 정부도 민관합동조사단을 꾸리고 본격적인 원인 규명에 나섰다.

과학기술정보통신부는 지난 3일 티빙 회원정보 유출 사고와 관련해 민관합동조사단을 구성했다고 밝혔다. 조사단은 과기정통부와 한국인터넷진흥원(KISA)을 중심으로 운영되며 디지털 포렌식 및 클라우드 보안 전문가들이 참여해 사고 원인과 피해 규모를 조사할 예정이다.

이번 사고는 지난 2일 티빙 이용자 개인정보를 저장하는 데이터베이스(DB)에 비인가 접근이 발생하면서 시작됐다. 티빙은 신원 미상의 해커가 DB에 침입해 개인정보가 포함된 파일을 외부로 유출한 정황을 확인하고 홈페이지와 애플리케이션을 통해 이용자들에게 관련 사실을 공지했다.

현재까지 확인된 유출 정보는 아이디(ID), 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대전화 번호 일부, 이메일 정보 일부, 환불 계좌번호, 비밀번호 암호화 값 등이다. 주민등록번호와 결제 관련 정보는 티빙이 보유하고 있지 않아 유출 대상에는 포함되지 않은 것으로 파악됐다.

특히 업계에서는 CI 유출 가능성을 가장 우려하고 있다. CI는 본인인증을 거친 이용자를 식별하기 위해 생성되는 고유 정보로, 일명 '온라인 주민등록번호'로 불린다. CI 자체만으로 금융거래나 계정 접속이 가능한 것은 아니지만, 다른 유출 정보와 결합될 경우 개인정보를 연결·추적하거나 명의도용 등에 악용될 가능성이 있다는 지적이 나온다.

지난 4월 티빙 MAU 770만명

이용자 피해 적지 않을 듯

비밀번호는 단방향 암호화 방식으로 저장돼 있어 원본 값을 즉시 확인하기는 어렵다. 다만 단순한 비밀번호를 사용하거나 여러 서비스에서 동일한 비밀번호를 사용한 경우 무차별 대입 공격 등을 통해 계정이 탈취될 가능성이 있어 주의가 요구된다.

실제 피해 규모는 아직 확인되지 않았다. 다만 모바일인덱스 기준 지난 4월 티빙의 월간활성이용자수(MAU)가 약 770만 명에 달하는 만큼 적지 않은 이용자가 영향을 받을 수 있을 것으로 전망된다.

티빙은 지난해 12월에도 외부에서 확보한 계정 정보를 이용해 로그인을 시도하는 '크리덴셜 스터핑(Credential Stuffing)' 공격을 받은 바 있지만 당시에는 개인정보 유출 피해는 발생하지 않았다. 반면 이번 사고는 개인정보 저장 시스템 자체가 공격받았다는 점에서 심각성이 더 크다는 평가다.

티빙은 사고 인지 직후 공격자 IP를 차단하고 클라우드 접근 통제 정책을 변경했으며 데이터베이스 접속 모니터링을 강화하는 등 긴급 보안 조치를 시행했다. 또한 KISA에 사고를 신고하고 추가 피해 확산 방지를 위한 보안 점검을 진행하고 있다.

정부는 이번 사고를 악용한 스미싱과 보이스피싱 시도에도 경계심을 가져야 한다고 강조했다. 과기정통부는 '피해보상', '환불', '개인정보 유출 조회' 등을 내세운 문자메시지나 이메일, 전화가 증가할 수 있다며 출처가 불분명한 인터넷주소(URL)는 클릭하지 말 것을 당부했다.

또한 개인정보나 인증번호 입력을 요구하는 경우 반드시 사이트의 진위 여부를 확인하고, 정부기관이나 금융회사는 전화나 문자로 원격제어 애플리케이션 설치를 요구하지 않는다는 점을 유의해야 한다고 설명했다.