탈퇴회원까지…티빙 개인정보 유출 규모 1900만명대로 언급되는 이유?

티빙 개인정보 유출 공지. 티빙 홈페이지 캡처

1953만명의 개인정보가 티빙 해킹 사고로 유출된 것으로 나타났다. 정부 초기 추산보다 650만명 이상 늘어난 규모로, 비밀번호와 환불계좌번호, CI·DI 등 민감 정보까지 포함된 것으로 조사됐다.

18일 이정헌 더불어민주당 의원이 개인정보보호위원회와 과학기술정보통신부로부터 제출받은 자료에 따르면 최근 발생한 티빙 해킹 사건의 피해 규모는 1953만명으로 나타났다.

이 숫자가 최종적으로 확정될 경우 국내 정보유출 사고 중 쿠팡, 네이트, SKT에 이어 네 번째 규모로 정부의 초기 잠정치(1300만명) 보다 650만명 이상 늘어난 수치다. 다만, 현재 조사중인 사건이라 최종적인 규모라고 할 수 없다는 게 회사측 설명이다.

유출 항목에는 아이디, 이름, 생년월일 외에 비밀번호, 환불 계좌번호, 연계정보(CI), 연계인증정보(DI) 등이 유출됐다. '디지털 주민등록번호 '로 불리는 CI와 DI는 변경이 불가능해 명의도용 등 금융 범죄에 악용될 위험이 제기된다.

한번 유출되면 교체가 불가능한 CI 의 특성상, 타 유출 사고 정보와 결합해 신원 특정에 악용될 위험이 커 이용자들의 불안과 공분이 확산되고 있다. 현재 티빙을 상대로 손해배상 소송 참여 의사를 밝힌 원고 규모만 이미 9만명을 넘어선 것으로 알려졌다.

티빙은 이상행위를 5월 30일 최초 인지했으나 대용량 파일의 외부 전송을 최종 확인한 것은 사흘 뒤인 6월 2일인 것으로 나타났다. 과기정통부와 개보위에 각각 제출된 티빙의 신고서상 최초 인지 시점이 다르게 기재된 경위에 대해서도 정부 부처의 보고 경로 추적과 조사가 진행 중이다.

정부는 유출 규모가 티빙의 유료 회원(500만명) 및 월간 활성 이용자 수(770만명)를 초과한 배경을 들여다보고 있다. 탈퇴 회원과 휴면 계정, 통신사 결합 상품 등 타사 제휴를 통해 생성된 계정까지 유출 범위에 포함됐는지가 핵심이다.

티빙이 탈퇴·휴면 계정을 유출 범위에 포함시켰다면 이는 과징금 산정 시 중대성을 가중하는 근거로 작용하게 된다.

KISA 정보보호공시에 따르면 티빙의 정보보호 투자액은 가입자와 매출 성장세와 달리 최근 2년새 감소폭이 약 20%에 달했다.

이정헌 의원은 “대한민국 대표 OTT 기업을 자처하는 티빙이 가장 기초적인 개발자 플랫폼 관리 부실로 인해 국민 1953만명의 소중한 개인정보를 해커에게 노출한 것은 기업의 안일함이 부른 명백한 인재(人災 )”라고 지적했다.

이 의원은 “국내 플랫폼사가 이용자 정보를 얼마나 가볍게 다뤄왔는지를 보여주는 사례” 라며 “정부는 이번 조사 결과를 토대로 단순 처벌에 그치지 않고 재발 방지를 위한 제도적 보완책을 마련해야 한다” 라고 강조했다.

한편 최주희 티빙 대표는 지난 3일 사과문을 내고 “티빙은 외부의 비인가 접근으로 이용자의 개인정보가 유출된 사실을 확인했다”면서 “이용자 여러분께서 믿고 맡겨 주신 정보를 지켜드리지 못했으며, 그 책임은 전적으로 티빙에 있다”고 고개를 숙였다.