국내 대표 온라인동영상서비스(OTT) 티빙에서 회원 개인정보 유출 사고가 발생하자 정부가 민관합동조사단을 꾸리고 조사에 착수했다. 앞서 외부의 비인가 접근으로 회원정보가 유출된 정황을 확인한 티빙이 한국인터넷진흥원(KISA)에 신고한 데 따른 후속 조치다. 최주희 티빙 대표는 “책임은 전적으로 티빙에 있다”며 “피해 구제와 이용자 보호를 위해 끝까지 책임지겠다”고 약속했다.

4일 과학기술정보통신부에 따르면 티빙은 지난 1일 개인정보 침해사고를 신고했다. 과기정통부와 KISA는 신고 직후 티빙 측에 관련 자료 보전을 요구하고 사고 원인과 피해 규모 등에 대한 조사에 들어갔다. 과기정통부는 침해사고 조사 심의위원회를 긴급 개최한 결과 이번 사고가 중대한 침해사고에 해당한다고 판단했다. 이에 따라 대규모 정보 유출 및 추가 피해 가능성 등을 고려해 민관합동조사단을 구성하기로 했다.

민관합동조사단은 과기정통부 정보보호네트워크정책관을 단장으로 꾸려진다. 조사단에는 과기정통부와 KISA 외에도 포렌식, 클라우드 서비스 분야 민간 전문가들이 참여한다. 과기정통부는 사고 원인과 피해 범위 등을 조사한 뒤 결과를 공개할 방침이다.

티빙은 홈페이지와 앱 공지를 통해 지난 2일 개인정보 저장 데이터베이스에 대한 비인가 접근 및 파일 유출 정황을 확인했다고 밝혔다. 유출된 정보는 회원 ID, 이름, 생년월일, 성별, 휴대전화 번호, 이메일, 연계정보(CI), 중복가입확인정보(DI), 환불 계좌번호, 비밀번호, 서비스 이용 관련 정보 등이다.

티빙은 휴대전화 번호 일부와 이메일 일부, 환불 계좌번호, 비밀번호 등은 암호화된 상태였다고 설명했다. 주민등록번호와 결제 관련 유효 정보는 보유하고 있지 않아 유출 대상이 아니라고 밝혔다. 다만 구체적인 유출 규모는 아직 공개하지 않았다.

티빙은 사고 확인 이후 공격자 IP 접근을 차단하고 클라우드 접근 통제 정책을 변경했다. 데이터베이스 접속 모니터링도 강화했으며 추가 피해를 막기 위한 전면 보안 점검에 착수했다. 티빙은 또 자사와 같은 계정 정보를 다른 서비스에서도 사용하는 이용자에게 비밀번호 변경을 권고했다.

이용자들 사이에서는 CI와 DI 유출에 대한 우려도 나온다. CI는 본인 인증을 거친 이용자를 식별하는 고유값이다. 다른 개인정보와 결합될 경우 개인 식별이나 추가 피해에 악용될 가능성이 있다는 지적이다.

이러한 우려가 확산되자 최 대표는 “이번 개인정보 유출 사고로 이용자 여러분께 큰 심려를 끼쳐 드린 점, 진심으로 사과드린다”며 고개 숙였다.

최 대표는 외부의 비인가 접근으로 이용자 개인정보가 유출된 사실을 확인했다며, 이용자 정보를 지키지 못한 책임이 티빙에 있다고 인정했다. 피해 구제와 이용자 보호에 책임을 다하겠다는 입장도 밝혔다.

최 대표는“보안 체계를 원점에서 재점검해 다시는 같은 일이 반복되지 않도록 하겠다”고 강조했다. 박혜림 기자