국내 온라인동영상서비스(OTT) '티빙'의 개인정보 유출 사고가 단일 서비스 침해를 넘어 플랫폼 연동 구조 속 2차 피해 우려로 번지고 있다.

이번 사고에서는 이름·휴대전화 번호·이메일뿐 아니라 본인확인에 쓰이는 CI(연계정보), DI(중복가입확인정보), 환불 계좌번호, 서비스 이용 관련 정보까지 유출 항목에 포함됐다. 유출 정보가 다른 경로에서 확보된 개인정보와 결합될 경우 피해 범위가 '티빙' 안에만 머물지 않을 수 있다는 지적이 나온다.

CI·DI·환불계좌까지 유출…'온라인 식별정보'도 포함
5일 업계에 따르면 '티빙'이 이용자에게 공지한 유출 항목에는 아이디, 이름, 생년월일, 성별, 휴대전화 번호, 이메일 등이 포함됐다. 본인확인에 쓰이는 CI와 DI, 환불 계좌번호, 비밀번호, 서비스 이용 관련 정보도 유출 항목에 들어갔다.

CI는 주민등록번호를 직접 쓰지 않고 온라인에서 같은 이용자를 식별하기 위해 생성하는 연계정보다. 주민등록번호가 그대로 노출되는 것은 아니지만, 온라인 서비스에서 동일 이용자를 구분하는 데 쓰일 수 있어 '온라인 주민등록번호'로 불리기도 한다.

DI는 같은 서비스 안에서 동일 이용자의 중복 가입 여부를 확인하는 값이다. '티빙' 안에서 같은 사람이 여러 계정을 만들었는지를 구분하는 데 쓰이는 식이다. CI가 여러 서비스 사이에서 같은 이용자를 식별하는 데 활용될 수 있다면, DI는 특정 서비스 안에서 이용자를 구분하는 정보에 가깝다.

CI만으로 곧바로 계정 탈취나 금융 피해가 발생한다고 단정할 수는 없다. 다만 이름, 휴대전화 번호, 이메일, 생년월일 등과 결합될 경우 이용자 식별, 프로파일링, 명의도용 시도, 계정 공격에 악용될 가능성이 커질 수 있다.

박기웅 세종대 정보보호학과 교수는 "유출된 개인정보 항목이 많아질수록 공격자가 이를 활용해 만들 수 있는 시나리오도 강해진다"며 "CI는 다른 정보와 연계됐을 때 추가 피해로 이어질 파급력이 크기 때문에 위험도가 높게 평가된다"고 말했다.

'네이버플러스'·간편로그인 연결…정보 결합 가능성 주목
'티빙'은 다른 플랫폼과 연결된 방식으로도 이용자가 유입되는 서비스다. '네이버플러스 멤버십' 이용자는 네이버 계정 기반으로 디지털 콘텐츠 혜택에서 '티빙'을 선택해 이용할 수 있다. 간편로그인이나 제휴 상품을 통해 가입한 이용자도 있다.

다만 이번 사고로 네이버나 다른 플랫폼 계정이 곧바로 탈취된다고 보기는 어렵다. 로그인 인증 권한은 각 플랫폼 사업자가 별도로 관리한다.

문제는 유출 정보가 다른 경로에서 확보된 개인정보와 결합될 때다. 이 경우 스미싱, 피싱, 크리덴셜 스터핑 등 2차 공격에 활용될 가능성을 배제하기 어렵다는 지적이 나온다.

크리덴셜 스터핑은 이미 유출된 아이디와 비밀번호 조합을 다른 서비스에 대입해 로그인을 시도하는 공격 방식이다. 이용자가 여러 서비스에서 같은 아이디와 비밀번호를 쓰는 경우 피해 위험이 커진다.

'티빙' 측은 비밀번호가 단방향 암호화돼 저장됐다고 설명했다. 다만 같은 비밀번호를 다른 서비스에서도 쓰는 이용자라면 선제적으로 비밀번호를 바꾸는 편이 안전하다.

김명주 서울여대 정보보호학과 교수는"외부와 연결된 부분은 모두 들여다봐야 한다"며 "간편로그인이나 싱글사인온처럼 한 곳으로 들어가 다른 서비스로 넘어가는 구조에서 어느 선까지 무너졌는지를 확인해야 한다"고 분석했다.

싱글사인온은 한 번 로그인하면 연결된 여러 서비스에 다시 비밀번호를 입력하지 않고 접근할 수 있도록 하는 인증 방식이다. 이용자 편의성은 높지만, 서비스 간 연결 지점에서 어떤 정보가 오가고 어떻게 관리됐는지가 침해사고 조사에서 중요해질 수 있다.


정부 민관합동조사단 구성…침해 경로·악용 가능성 조사
과학기술정보통신부와 한국인터넷진흥원(KISA)은 '티빙' 침해사고 신고를 접수한 뒤 사고 원인과 피해 규모를 조사하고 있다.

과기정통부는 이번 사고를 중대한 침해사고로 보고 민관합동조사단을 구성했다. 조사단에는 과기정통부와 KISA뿐 아니라 포렌식과 클라우드 서비스 분야 민간 전문가도 참여한다.

조사 과정에서는 침해 경로와 피해 규모뿐 아니라 유출 정보의 악용 가능성도 함께 살펴볼 것으로 보인다. '서비스 이용 관련 정보'의 구체적 범위와 CI·DI 관리 방식, 제휴 가입자 정보 연동 범위도 후속 확인이 필요한 대목이다.

김 교수는 "사고가 발생하면 회사가 파악한 유출 범위가 맞는지부터 확인해야 한다"며 "조사 과정에서는 회사가 파악한 것보다 유출 건수나 범위가 더 크게 나오는 경우가 있다"고 설명했다.

이어 "암호화돼 나갔다고 했더라도 실제로는 암호화가 안 된 정보가 있을 수 있고, 한 곳에 들어올 정도라면 외부와 연결된 다른 부분도 확인해야 한다"며 "왜 뚫렸는지 밝히기 전까지는 다소 불편하더라도 로그인과 외부 연결 정책을 엄격하게 가져갈 필요가 있다"고 조언했다.

정부는 이번 유출 정보를 악용해 '피해보상', '피해사실 조회', '환불' 등을 내세운 문자메시지나 피싱사이트, 보이스피싱 시도가 발생할 수 있다고 보고 대국민 보안공지를 냈다.

이용자는 문자나 이메일에 포함된 인터넷주소(URL)를 바로 누르지 말고, '티빙' 공식 앱이나 홈페이지에서 공지 내용을 확인하는 것이 좋다. 동일한 아이디와 비밀번호를 다른 서비스에서도 사용했다면 비밀번호를 함께 바꾸는 조치도 필요하다.




kxmxs4104@news1.kr