[서울=뉴스핌] 최문선 기자 = 국내 OTT 플랫폼 티빙에서 가입자 700만 명 이상의 개인정보가 유출됐다.

단순 반복되는 보안 사고가 아니다. 이번엔 주민등록번호를 대체하는 본인인증 핵심 값 CI(연계식별정보)까지 털렸다. 플랫폼 보안의 구조적 허점이 수면 위로 드러난 사건이다.

◆CI 유출, 2차 피해 경보

이번 사고에서 유출된 정보는 아이디·이름·생년월일·성별·전화번호·이메일·환불 계좌번호 등 광범위하다. 그중에서도 CI 유출이 핵심 문제다. CI는 주민등록번호를 직접 수집하지 않는 대신 금융·통신·공공 서비스 간 본인 동일성을 확인하는 고유 식별값이다. 관련 법령상 목적 달성 즉시 폐기하거나 별도 암호화 보관이 의무화된 민감 데이터인데, 이것이 외부로 유출됐다.

CI는 비밀번호처럼 변경이 가능한 값이 아니다. 한 번 유출되면 해당 개인의 신원 정보는 반영구적으로 위협에 노출된다. 이를 이용한 스미싱·계정 탈취·금융 사기 등 2차 피해가 장기화될 수 있다는 점에서 기존의 아이디·이메일 유출 사고와는 결이 다르다.

◆반복된 사고, 쌓인 의혹

이번 사고는 티빙의 첫 번째 보안 사고가 아니다. 티빙은 지난해 12월에도 크리덴셜 스터핑 공격을 받았다. 크리덴셜 스터핑은 다른 경로로 유출된 계정 정보를 대량으로 대입해 로그인을 시도하는 방식으로, OTT 플랫폼이 주요 표적이 된다. 당시에도 일부 계정이 무단 접근된 것으로 알려졌다.

보안 업계에서는 반복 피해를 두고 "사고 후 사후 대응에 그쳤을 뿐 구조적 취약점을 해소하지 못한 결과"라는 평가가 나온다. 이번엔 크리덴셜 스터핑이 아닌 DB 직접 침입이었다. 공격 방식이 달라져도 뚫렸다는 것은, 내부 보안 아키텍처 자체에 문제가 있다는 신호로 읽힌다.

모회사 CJ ENM의 정보보호 투자 수준도 도마에 올랐다. CJ ENM 주가는 사고 직후 3%대 하락했다. 시장도 이번 사고를 단순 해프닝이 아닌 기업 리스크로 판단하고 있다는 방증이다.

◆기한 1분 전 신고…법은 지켰지만

신고 타이밍 논란도 불거졌다. 개인정보보호법은 침해사고 인지 후 24시간 이내 신고를 의무화하고 있다. 티빙은 해당 기한이 끝나기 1분 전 신고를 접수한 것으로 알려졌다. 법적으로는 위반이 아니지만, 사고 인지 시점을 언제로 보느냐에 따라 고의적 지연 의혹은 여전히 남는다.

통상 기업들이 '내부 확인'을 이유로 신고를 미루는 관행이 있어온 만큼, 이번 사례가 신고 기준 해석을 둘러싼 논의로 이어질 가능성도 있다.

정부도 즉각 움직였다. 과학기술정보통신부와 개인정보보호위원회는 이번 사고를 '중대 침해사고'로 판단하고, KISA와 민간 전문가가 참여하는 민관합동조사단을 구성해 조사에 착수했다.

조사단은 해커의 침입 경로와 티빙 내부 보안 관리 체계 전반을 들여다볼 예정이다. 신고 타이밍 논란이 겹치면서 조사 과정에서 티빙의 사고 인지 시점과 대응 절차에 대한 검증도 이뤄질 것으로 보인다.

◆OTT, 공격받기 좋은 구조

이번 사고가 주목받는 또 다른 이유는 OTT 플랫폼의 구조적 취약성이다. OTT 서비스는 본질적으로 대규모 개인 식별 정보, 결제 데이터, 시청 이력을 한 곳에 집적하는 구조다. 이용자 수가 많을수록 데이터 집중도는 높아지고, 해커 입장에서는 그만큼 매력적인 표적이 된다.

국내 OTT 시장은 최근 수년간 구독자 규모 경쟁에 집중해왔다. 보안 인프라에 대한 투자는 상대적으로 후순위로 밀려왔다는 시각이 업계 안팎에서 나온다. 글로벌 표준 대비 국내 플랫폼의 암호화 수준과 접근 제어 체계가 취약하다는 지적도 오래전부터 있어왔다.

이번 티빙 사태는 단일 기업의 보안 실패로 국한할 수 없다. 웨이브·왓챠·쿠팡플레이 등 국내 OTT 전반이 유사한 구조적 위험에 노출돼 있다는 점에서, 이번 사태를 계기로 플랫폼 보안 기준의 전반적 재정비가 불가피하다는 목소리가 높아지고 있다.

moonddo00@newspim.com