[서울=뉴시스]윤정민 기자 = 국내 대형 동영상 스트리밍 서비스(OTT) 티빙에서 발생한 개인정보 유출 사고의 파장이 커지고 있다. 유출된 항목에 이름과 생년월일뿐만 아니라 주민등록번호를 대체하는 '연계정보(CI)'까지 포함된 것으로 확인됐다.  주민등록번호 대체수단인 CI는 여러 서비스에서 동일 이용자를 식별하거나 데이터를 연계하는 데 쓰일 수 있어 유출 시 파장이 작지 않다는 지적이 나온다.

4일 티빙에 따르면 이번 개인정보 유출 항목에는 이름, 아이디, 생년월일, 성별, 휴대전화번호(마지막 4자리 암호화), 이메일(도메일 제외 암호화), 환불 계좌번호(암호화), 비밀번호(암호화), 서비스 이용 관련 정보 등과 함께 CI, 중복가입확인정보(DI)가 포함됐다.

티빙은 신원 미상의 해커가 자사 데이터베이스(DB)에 무단 침입해 개인정보 파일을 외부로 보냈다고 설명했다. 티빙은 사고 인지 후 공격자 IP 접근 차단, 클라우드 접근통제 정책 변경, DB 접속 모니터링 강화 등의 조치를 취했다고 밝혔다.

◆"주민번호 복원 안 되지만 피싱 악용 가능성 있어"

CI는 주민등록번호를 일방향으로 암호화해 원문으로 복원할 수 없도록 만든 정보를 말한다. 정보통신서비스 제공자가 주민등록번호를 직접 처리하지 않으면서도 이용자를 식별해 개인별 서비스를 제공할 수 있도록 만든 장치다.

CI 자체에 이름, 전화번호, 시청이력 같은 정보가 담긴 것은 아니다. 하지만 동일인을 식별하는 고유값으로 쓰이는 만큼 다른 개인정보와 연결하는 기준값으로 활용될 수 있다는 점이 문제다.

전문가들의 의견을 종합하면 CI 유출이 곧바로 금융 계좌 개설이나 본인확인 우회에 악용된다고 보기는 어렵다. 하지만 CI가 여러 데이터베이스를 묶는 결합 키로 쓰일 수 있는 만큼 대규모 유출 시 개인별 정보 결합과 정교한 피싱에 악용될 가능성이 커진다.

그만큼 CI는 별도 안전조치가 요구되는 정보다. 실제로 CI 유출이 CI 안전조치 의무 위반으로 판단돼 별도 제재로 이어진 사례도 있다.

방송미디어통신위원회는 지난 4월 롯데카드에 CI 안전조치 의무 위반을 이유로 과태료 1125만원과 개선 권고를 의결했다. 지난해 롯데카드 정보유출 사고에서 약 129만명분 CI가 유출된 데 따른 조치다.

최경진 가천대 법학과 교수는 "과거 주민등록번호가 여러 데이터베이스를 연결하는 데 쓰였던 것처럼 CI도 데이터 결합의 매개가 될 수 있다"고 말했다.

익명을 요구한 한 보안업체 대표는 "CI·DI가 티빙 외부에서 곧바로 금융 계좌 개설이나 본인확인 우회에 악용된다고 보기는 어렵다"면서도 "티빙 내부에서는 이용자를 식별하는 값으로 쓰일 수 있는 만큼 검색·시청·추천 등 서비스 이용정보와 어떻게 연결돼 있었는지가 중요하다"고 전했다.

CI 또는 CI와 연결된 회원 식별값이 티빙 내부 DB에서 서비스 이용기록과 함께 관리됐다면 유출된 정보가 단순 신원정보를 넘어 이용자 콘텐츠 취향이나 이용 패턴을 추정하는 데 활용될 수 있다는 뜻이다.

◆정부 '중대 사고' 판단…"비밀번호 즉각 바꿔야"

과학기술정보통신부와 한국인터넷진흥원(KISA)은 전날 긴급 침해사고 조사 심의위원회를 열었다. 정부는 이번 사고가 대규모 정보 유출, 추가 피해 발생 가능성이 있는 중대한 침해사고에 해당한다고 보고 민관합동조사단을 꾸리기로 했다.

개인정보보호위원회도 같은 날 티빙으로부터 개인정보 유출 신고를 접수받아 조사에 착수했다며 개인정보 보호법 준수 여부 등을 파악하겠다고 전했다.

현재 티빙은 이용자를 대상으로 구체적인 개인정보 유출 규모를 공개하지 않았다. 다만 티빙이 국내 대표 OTT 사업자이고 정부가 민관합동조사단 구성에 나선 만큼 유출 범위가 작지 않을 가능성에도 무게가 실린다.

모바일인덱스에 따르면 지난 4월 기준 티빙 모바일 앱 월 이용자 수(MAU)는 770만여명이다. 가입자 수가 최소 500만명으로 알려진 만큼 실제 유출 규모에 따라 국내 소비자 전반에 미치는 파장이 클 수 있다.

조사에서는 정확한 유출 규모와 사고 경로뿐 아니라 CI·DI 보호조치 수준, 다른 개인정보와의 결합 가능성, 서비스 이용 관련 정보 범위 등이 주요 쟁점이 될 전망이다.

최 교수는 "대규모 CI 유출이 확인된다면 기존 CI 값을 계속 쓰는 것이 적절한지, 변경이나 폐기 등 별도 조치가 필요한지도 검토해야 한다"고 말했다.

전문가들은 티빙 가입자들에게 비밀번호를 즉시 변경하고 같은 아이디와 비밀번호를 사용하는 다른 서비스 계정 정보도 함께 바꿔야 한다고 강조했다. 특히 티빙을 사칭한 문자, 이메일, 고객센터 안내, 환불 안내 등을 빙자한 피싱·스미싱 시도에 주의해야 한다는 설명이다.

한편 티빙은 정부 조사에 적극 협조하겠다는 입장이다. 전날 최주희 티빙 대표는 "이번 보안 사고로 고객들께 심려를 끼쳐드린 점 진심으로 사과드린다"며 " "피해 구제와 이용자 보호를 위해 끝까지 책임지겠다"고 밝혔다.


◎공감언론 뉴시스 alpaca@newsis.com