[이데일리 윤정훈 기자]

국내 온라인동영상서비스(OTT) 티빙(TVING)에서 발생한 대규모 개인정보 유출 사고를 계기로, 그간 지속된 보안 투자 축소와 취약한 보안 지배구조가 도마 위에 올랐다.

수백만 명의 회원 정보를 관리하는 대형 플랫폼임에도 보안 예산을 줄여온 데다 최고 책임자가 팀장급에 불과해 예고된 인재라는 지적이 나온다.

4일 과기정통부와 한국인터넷진흥원(KISA)은 피해 현황과 원인을 조사하기 위해 디지털 포렌식 및 클라우드 전문가가 포함된 약 10명 규모의 민관합동조사단을 전격 구성하고 밤샘 조사에 착수했다.

유출된 항목에는 아이디, 이름, 생년월일 외에 비밀번호·환불 계좌번호(이상 암호화) 등이 포함됐다. 특히 주민등록번호를 대체하는 식별번호인 연계정보(CI)와 중복가입확인정보(DI), 그리고 이용자의 콘텐츠 시청 성향까지 함께 노출된 것으로 확인됐다.

보안업계에서는 이번 사고가 내부 보안 운영 체계의 허점에서 비롯되었을 가능성에 무게를 두고 있다. 정보보호공시에 따르면 티빙의 정보보호 투자액은 2022년 약 22억 원에서 2024년 약 17억 원으로 2년 연속 감소했다. 전담 인력 또한 내부 4.1명, 외주 3.4명 등 총 7.5명에 불과해 수백만 이용자를 방어하기엔 턱없이 부족하다는 지적이다.

최고정보보호책임자(CISO)와 개인정보보호책임자(CPO) 역시 독립된 임원이 아닌 타 업무를 겸직하는 팀장·리더급이 맡고 있어 거버넌스의 한계를 드러냈다.

강병탁 AI스페라 대표는 “보안 사고의 상당수는 개발 과정의 오류보다는 관리자 포트를 열어두거나 DB 접근 권한이 있는 임직원 PC가 악성 링크 등으로 먼저 털리면서 발생한다”며 “자신도 모르는 사이에 권한이 넘어가고 새로운 계정이 만들어져 데이터가 유출되는 경우가 많다”고 설명했다.

전문가들은 평생 바뀌지 않는 고유 식별값인 CI와 시청 이력이 함께 유출된 점을 가장 우려하고 있다. 해커가 이를 다크웹 등의 타 유출 정보와 결합할 경우, 사용자의 취향을 파악해 교묘하게 접근하는 타깃형 피싱 등 고도화된 2차 범죄로 이어질 위험이 크다. 티빙의 가입자 규모를 고려할 때 잠재적 피해 대상은 최대 1000만 명에 이를 수 있다는 관측도 나온다.

티빙 측은 “2023년 콘텐츠 투자 확대에 맞춰 보안 투자와 인력을 늘렸고, 2024~2025년 투자액 조정은 일부 서비스 종료 및 사업 구조 개선의 영향”이라고 설명했다. 이어 “보안 인력은 2022년 4.9명에서 2025년 7.5명으로 매년 꾸준히 늘려왔다”며 “정보보안 역량 강화를 위한 투자를 지속하고 있다”고 밝혔다.

CJ ENM 관계자는 “최근 임직원 정보 유출 사례와는 성격이 다른 사건”이라며 “보안 체계의 부족한 부분을 잘 점검하고 민관합동조사단에 성실히 협조할 예정”이라고 밝혔다.

과기정통부 관계자는 “민관합동조사단을 통해 성실히 조사할 것”이라며 “현재로서는 중간 브리핑 시기 등을 예단하기 어렵다”고 말했다.