구독 중이던 OTT 티빙에서 개인정보 유출 공지 팝업이 떠 놀랐다. 계정 정보가 줄줄이 노출되었고 아이디·이름·생년월일·성별은 기본이고 CI와 DI까지 흘렀다. 역대급 규모의 유출로 보이지만 조용한 분위기에 의아함이 남는다. 무슨 일이 있었는지 팩트부터 정리된다. 신원 미상의 해커가 티빙 데이터베이스에 무단 침입해 정보를 빼간 것이 확인됐고, 티빙은 CJ ENM이 운영한다. 침입은 5월 말에 이뤄졌지만 이용자 공지는 6월 3일에야 나왔으며, 법정 기한을 거의 다 채운 시점에 신고가 접수됐다는 보도도 있다. 피해 규모는 만만치다. 일부 언론은 700만 명에 달하는 회원이 영향권에 있다고 본다. 최종 규모는 아직 확정 발표가 없어 더 늘어날 가능성도 있다. 불씨는 티빙에서 끝나지 않는다. 6월 들어 CJ ONE과 일부 계열사 임직원 정보로까지 유출 정황이 확산되며 파장이 커졌다. 정부도 과학기술정보통신부와 개인정보위가 합동 조사에 나서는 등 중대한 침해 사고로 보고 있다.
CI는 Connecting Information의 약자로, 주민등록번호를 일방향으로 암호화해 만든 88바이트짜리 고유값이다. 온라인 주민번호처럼 서로 다른 사이트에서 같은 사람을 식별하는 데 쓰인다. CI는 한 사람당 하나뿐이고 바꿀 수 없으니 위험이 크다. 이번 유출에서 휴대폰 번호와 이메일은 일부 가려졌으나 CI와 DI에는 가공 없이 노출됐다. 이로 인해 과거에 흩어져 있던 정보가 하나의 프로필로 결합될 위험이 있다. 비밀번호의 안전성은 다소 안심할 수 있어도, 해시로 복호화가 불가능하다는 점과 달리 CI는 그대로 노출되면 해킹의 맥락에서 큰 취약점으로 작용한다는 점이 지적된다. 티빙이 비밀번호를 단방향 해시로 관리한다고 밝히지만, 해시의 강도나 사용 알고리즘이 공개되지 않아 안전성은 불확실하다.
지금 당장 필요한 행동은 비밀번호 변경이다. 티빙 계정은 마이페이지에서, CJ ONE은 회원 정보 수정에서, SNS 간편 로그인은 해당 플랫폼에서 각각 바꾼다. 더 나아가 같은 비밀번호를 쓰는 다른 사이트도 모두 변경하고 2단계 인증과 로그인 알림을 활성화한다. 피싱·스미싱 위험에 대응해 문자나 이메일의 링크를 절대 클릭하지 않고 공식 앱이나 홈페이지로 접속한다. 어르신 대상의 안내도 필요하다. 금융 관련 보안으로는 휴대폰 소액결제 차단이나 한도 설정, 카드사 이상 거래 알림을 켜두는 것이 권장된다. 공용 와이파이에서 금융 앱 사용은 피하는 것이 좋다. CI는 바꿀 수 없으므로 명의 도용 방지 서비스 가입과 e프라이버시 클린서비스를 통한 본인확인 이력 확인으로 관리가 필요하다. 피해 보상안은 아직 확정되지 않았고 티빙은 추후 안내를 예고한다. 보상을 기다리기보다 오늘 바로 위 조치들을 끝내는 것이 최우선이다.
#
CI유출
#
CJENM
#
OTT
#
개인정보유출
#
티빙
