[서울=뉴시스]박은비 기자 = 국내 온라인동영상서비스(OTT) 티빙에서 개인정보 유출 사고가 발생해 가입자들의 불안이 증폭되고 있다. 현재 티빙 자체 조사로 파악된 내용을 토대로 이용자들이 궁금할만한 내용을 정리해봤다.

3일 티빙에 따르면 전날 이용자들의 개인정보를 저장하는 데이터베이스(DB)에 비인가 접근이 이뤄져 개인정보가 유출된 정황을 확인했다.

티빙 이용자들은 회사가 개인정보 유출 사실을 알리기 위해 띄운 팝업 공지문을 3일 새벽 시간대에 처음 확인하고 혼란에 빠졌다.

온라인 커뮤니티를 중심으로 "드라마 보겠다고 이 시간에 티빙을 켰다가 무슨 일인지 모르겠다", "갑자기 너무 놀라서 비밀번호 변경했는데 별일 없었으면 좋겠다", "디즈니플러스랑 번들 구독했는데 이게 뭐냐" 등 반응이 나왔다.

현재 티빙이 자체 파악한 바에 따르면, 이번 사고는 신원 미상의 해커가 개인정보 저장 DB에 접속해 해당 파일을 외부로 전송해 발생한 것으로 보인다.

◆궁금증 1. 내 정보는 어디까지 털렸나

유출된 개인정보는 회원ID, 이름, 생년월일, 연계정보(CI), 중복가입확인정보(DI), 전화번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화), 이외 서비스 이용과 관련한 정보 등이다.

암호화 등 최소한의 보호조치가 돼 있었지만 실제 위험은 뭐가 유출됐는지보다 공격자가 어떤 정보를 복호화하거나 재조합할 수 있는지에 달려있다.

특히 앞선 대형 유출 사고에 비춰봤을 때 이메일이나 전화번호 같은 항목보다 눈에 들어오는 CI 유출이다. CI가 본인인증을 거친 동일인을 식별하는 고유값이기 때문이다.

CI 자체만으로 계좌를 만들거나 로그인은 할 수 없지만, 공격자가 다른 유출 DB도 확보한 경우 동일한 CI를 기준으로 여러 서비스의 개인정보를 연결·통합할 우려가 남는다.

◆궁금증 2. 암호화됐는데 비번 왜 바꿔야 하나

또 여기서 말하는 비밀번호 단방향 암호화는 회원 비밀번호를 암호화된 문자열로 바꾸고 그 결과물만 보면 원래 어떤 데이터였는지 역추적할 수 없는 방식을 말한다. 양방향 암호화와 달리 원래대로 되돌리는 게 불가능하다.

해커가 비밀번호를 수집했더라도 이를 곧바로 사용할 수 없다는 의미다. 그렇다고 해도 안심하기에는 이르다. 기존 비밀번호가 단순했다면 해커가 돌리는 무차별 대입 프로그램에 의해 원래 비밀번호가 쉽게 확인될 가능성을 배제할 수 없다.

이 때문에 티빙도 동일 계정 정보를 사용하는 티빙 및 기타 서비스 비밀번호 변경을 권장했다. 영문 대소문자, 숫자, 특수문자를 섞고 길이가 긴 비밀번호를 사용해 비밀번호 복잡도를 높이는 것도 방법이다.

◆궁금증 3. 티빙은 어떻게 대응하고 있나

티빙은 유출 사실을 인지한 직후 공격자 IP 접근을 차단한 상태다. 한국인터넷진흥원(KISA)에 신고하고, 회사 클라우드 환경에 접근할 수 있는 권한을 전면 수정했다. 이와 함께 DB 접속에 대한 모니터링을 강화하는 한편 추가적인 피해 확산 방지를 위한 전면적인 보안 점검에 착수했다.

티빙은 현재 피해구제를 위한 고객센터를 운영 중이다. 고객센터를 통해 유입된 내용을 살펴 관련 구제 절차를 위한 지원을 제공할 계획이다. 개인정보 악용으로 의심되는 전화, 메일 등을 받는 경우 티빙 고객센터로 접수하면 된다.

티빙 관계자는 "이번 보안 사고로 고객들께 심려를 끼쳐드린 점 진심으로 사과드린다"며 "현재 사고 원인과 영향 범위를 면밀히 확인하는 동시에 고객 보호 조치를 최우선으로 시행하고 있다"며 "확인되는 사실은 투명하게 공개하겠다"고 말했다.

그러면서 "정부 및 관계 기관 조사에도 성실히 협조하며 재발 방지 대책 마련에 최선을 다하겠다"고 강조했다.


◎공감언론 뉴시스 silverline@newsis.com