[티빙 개인정보 대참사①] "21시간 동안 몰랐다" 1300만명 정보 빠져나간 해킹 전말은?

최진홍 기자 2026. 6. 11. 08:05
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
새벽 팝업 공지로 알려진 침입 사고… AWS 액세스 키 관리 부실 정황까지

900만 이용자를 향해 달리던 국내 토종 OTT의 질주에 급제동이 걸렸다. 사상 초유의 개인정보 유출 사태가 터지며 상황이 심상치않게 돌아가고 있다는 평가다.

티빙 개인정보 유출 사고의 피해 규모가 1300만명에 달하는 것으로 10일 파악됐다. 지난달 기준 티빙의 월간활성이용자수가 882만명 수준임을 감안하면 유출 대상에는 유료 가입자뿐 아니라 휴면 계정과 무료 회원까지 모두 포함된 것으로 추정된다. 티빙 측은 정확한 피해 규모는 조사가 끝나야 확정할 수 있다는 입장이다.

논란은 점점 커지고 있다. 

티빙 및 업계 취재 결과 신원 미상의 해커는 지난 2일 티빙 이용자들의 개인정보를 저장하는 데이터베이스에 비인가 접근해 개인정보 파일을 외부로 전송했다.

티빙이 한국인터넷진흥원(KISA)에 제출한 침해사고 신고서에 따르면 비정상적인 데이터 조회와 명령이 발생한 시점부터 회사가 이를 인지하기까지 21시간이 걸린 것으로 알려졌다. 침입자가 시스템 안에서 하루 가까이 활동하는 동안 아무도 몰랐다는 의미다.

공격의 수법도 단순 데이터 탈취와 달랐다. 해커는 데이터베이스를 밖에서 긁어간 것이 아니라 내부 시스템에 접속해 통제권을 확보한 뒤 직접 명령어(쿼리)를 입력해 데이터 조회를 실행한 정황이 확인됐기 때문이다. 

신고서의 대응 현황에는 티빙이 '공격에 사용된 것으로 확인된 아마존웹서비스(AWS) 액세스 키를 폐기했다'는 내용이 담겼다. 클라우드 접근 키 관리 부실이 침입 경로였을 가능성이 높다는 의미다. 

또 개발자들이 코드를 공유하는 플랫폼 깃허브의 하드코딩을 제거하고 교체했다는 내용도 신고서에 포함됐다. 시스템 로그인 정보에 해당하는 자격증명이 코드에 그대로 박혀 있다가 노출됐을 개연성을 보여주는 대목이다. 보안 업계에서 기본 중의 기본으로 꼽는 수칙이 지켜지지 않았다는 지적이 나오는 이유다.

유출된 정보도 상당하다. 회원 아이디와 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 전화번호(마지막 4자리 암호화), 이메일(도메인 제외 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화), 그 외 서비스 이용 관련 정보 등이다. 

사진=갈무리

사진=갈무리

다행히 주민등록번호와 신용카드 등 결제 관련 유효 정보는 티빙이 보유하고 있지 않아 유출 대상에서 제외됐으나 가장 우려를 사는 항목은 CI다. 

디지털 주민등록번호로 불리는 CI는 본인인증을 거친 동일인을 식별하는 고유값으로, 어느 사이트에서나 같은 값이 쓰인다. 한 번 유출되면 교체가 불가능하다. CI 자체만으로 계좌를 만들거나 로그인할 수는 없지만 공격자가 다른 유출 데이터베이스를 확보한 경우 동일한 CI를 기준으로 여러 서비스의 개인정보를 연결하고 통합할 위험이 남는다. 최근 수년간 통신사와 이커머스에서 대형 유출 사고가 이어진 만큼 재조합 위험은 이론에 그치지 않는다.

암호화 조치가 돼 있다고 안심하기도 이르다. 비밀번호에 적용된 단방향 암호화는 결과물만 보고 원래 데이터를 역추적할 수 없는 방식이라 해커가 수집하더라도 곧바로 쓸 수 없다. 그러나 기존 비밀번호가 단순했다면 무차별 대입 프로그램으로 원래 값이 확인될 가능성을 배제하기 어렵다. 암호화 강도와 암호화 키 관리 상태에 따라 복원 가능성이 갈리는 만큼 보호장치가 제 기능을 했는지가 이번 조사의 쟁점으로 떠올랐다. 티빙이 동일 계정 정보를 사용하는 다른 서비스의 비밀번호 변경을 권장한 것도 이런 배경에서다.

다만 티빙의 사후 대응은 빠르게 진행됐다. 유출 사실을 인지한 직후 공격자 IP 접근을 차단하고 클라우드 접근 통제 정책을 전면 수정했다. 데이터베이스 접속 모니터링을 강화하고 추가 피해 확산 방지를 위한 전면 보안 점검에도 착수했다. 피해 구제를 위한 전담 고객센터를 운영 중이며 개인정보 악용이 의심되는 전화나 메일을 받은 이용자는 고객센터로 접수하면 된다.

한편 최주희 티빙 대표는 사고 공지 당일 저녁 사과문을 내고 고개를 숙였다. 최 대표는 "이용자 여러분께서 믿고 맡겨주신 정보를 지켜드리지 못했으며 그 책임은 전적으로 티빙에 있다"며 "보안 체계를 원점에서 재점검해 다시는 같은 일이 반복되지 않도록 하겠다"고 밝혔다. 영향을 받은 이용자에게는 개별 안내를 진행하고 있으며 피해 구제와 이용자 보호를 끝까지 책임지겠다는 약속도 덧붙였다.

정부의 대응 수위도 높다. 과학기술정보통신부는 침해사고 조사 심의위원회를 긴급 개최한 결과 이번 사고가 중대한 사고에 해당한다고 판단하고 민관합동조사단을 출범시켰다. 조사단에는 과기정통부와 KISA 외에 디지털 포렌식과 클라우드 보안 분야 민간 전문가들이 포함됐으며 조사 결과는 국민에게 투명하게 공개될 예정이다. 

개인정보보호위원회는 개인정보보호법상 안전조치 의무와 유출 통지·신고 의무 준수 여부에 대한 조사에 착수했고 방송미디어통신위원회는 CI 관리 실태 점검에 들어갔다. 경찰도 유출 경위에 대한 수사를 시작했다.

과기정통부는 2차 피해 차단에도 나섰다. 피해보상이나 피해사실 조회, 환불 같은 키워드를 미끼로 한 보이스피싱과 악성앱 설치 시도가 예상되는 만큼 보호나라 누리집을 통해 대국민 보안공지를 진행했다. 유출 사실을 악용한 스미싱 문자가 사고 직후부터 기승을 부릴 수 있다는 판단에서다.

그럼에도 이용자들의 불안은 현재진행형이다. 사고 공지가 새벽 시간대에 팝업으로 처음 노출된 탓에 온라인 커뮤니티에는 당혹스러운 반응이 쏟아졌다. 회원가입만 하고 서비스를 쓰지 않던 이용자들까지 스팸 전화에 시달리고 있다는 호소도 이어지고 있다. 침입 경로와 유출 규모가 확정되기까지 조사에도 상당한 시간이 걸릴 전망이다. <계속>