최근 온라인동영상서비스(OTT) 티빙 개인정보 유출 사고를 겪은 피해자들이 회사를 상대로 집단 손해배상 청구 소송을 제기했다.

법무법인 지향은 지난 11일 서울중앙지법에 개인정보 유출 피해를 본 티빙 이용자 1051명을 대리해 손해배상 청구 소송을 제기했다고 12일 밝혔다.

지향은 티빙 개인정보 유출 사태로 피해를 본 이용자들을 대리해 티빙의 법적 책임을 규명하기 위해 소송을 진행한다고 설명했다.

지향은 원고 1인당 30만 원의 위자료를 우선 청구한 것으로 알려졌다. 향후 조사 결과 등에 따라 청구 금액은 확대될 수 있다.

지향은 특히 유출된 정보의 종류와 민감성을 고려할 때 이용자들의 정신적 피해와 특히, 2차 피해(스미싱, 피싱 등)에 대한 우려가 매우 심각하다고 진단했다.

티빙이 이용자에게 공지한 유출 항목에는 아이디, 이름, 생년월일, 성별, 휴대전화 번호, 이메일 등이 포함됐다. 본인확인에 쓰이는 CI와 DI, 환불 계좌번호, 비밀번호, 서비스 이용 관련 정보도 유출 항목에 들어갔다.

CI는 주민등록번호를 직접 쓰지 않고 온라인에서 같은 이용자를 식별하기 위해 생성하는 연계정보다. 주민등록번호가 그대로 노출되는 것은 아니지만, 온라인 서비스에서 동일 이용자를 구분하는 데 쓰일 수 있어 '온라인 주민등록번호'로 불리기도 한다.


DI는 같은 서비스 안에서 동일 이용자의 중복 가입 여부를 확인하는 값이다. '티빙' 안에서 같은 사람이 여러 계정을 만들었는지를 구분하는 데 쓰이는 식이다. CI가 여러 서비스 사이에서 같은 이용자를 식별하는 데 활용될 수 있다면, DI는 특정 서비스 안에서 이용자를 구분하는 정보에 가깝다.

CI만으로 곧바로 계정 탈취나 금융 피해가 발생한다고 단정할 수는 없다. 다만 이름, 휴대전화 번호, 이메일, 생년월일 등과 결합할 경우 이용자 식별, 프로파일링, 명의도용 시도, 계정 공격에 악용될 가능성이 커질 수 있다.

추가로 티빙은 다른 플랫폼과 연결된 방식으로도 이용자가 유입되는 서비스다. '네이버플러스 멤버십' 이용자는 네이버 계정 기반으로 디지털 콘텐츠 혜택에서 '티빙'을 선택해 이용할 수 있다. 간편 로그인이나 제휴 상품을 통해 가입한 이용자도 있다.

이를 근거로 지향은 이번 사고가 단순한 개인정보 유출을 넘어 개인정보보호법 위반 소지가 있다고 봤다.

구체적으로 해커가 이용자 정보가 저장된 데이터베이스(DB)에 접근해 개인정보를 외부로 반출한 점 등을 근거로 티빙이 개인정보보호법상 안전조치 의무를 다하지 못했을 가능성이 있다고 지적한다.

아울러 티빙이 서비스 이용기록과 기기정보 등을 필수 수집 정보로 규정한 것은 개인정보 최소수집 원칙에 어긋날 수 있다고도 주장했다. 추천 콘텐츠 제공, 서비스 개선, 통계 분석 등의 목적은 서비스 제공에 필수적이지 않은 만큼 이용자에게 선택권이 부여돼야 한다는 설명이다.

회원가입 과정의 동의 절차도 문제 삼았다. 선택 동의 항목의 수집 목적과 범위가 충분히 안내되지 않았고 일부 개인정보 제3자 제공 동의 항목은 이용자가 내용을 쉽게 확인하기 어려운 구조였다고 지적했다.

지향은 "향후 조사 결과에 따라 안전조치 의무 위반 여부를 면밀히 따지는 것은 물론 수집 및 처리 단계에서 이미 개인정보보호법 위반 소지가 다분하다고 판단하여 본 소송을 추진하게 됐다"고 말했다.

minju@news1.kr