'티빙 사태 여파'…방미통위, 주민번호·CI 분리 보관 4개월 앞당긴다

김종철 방송미디어통신위원회 위원장이 12일 경기도 과천 정부청사에서 열린 제 17차 방미통위 전체회의를 진행하고 있다./사진 제공=방송통신미디어위원회

방송미디어통신위원회(방미통위)가 주민등록번호와 연계정보(CI)의 분리·보관 시행일을 당초보다 4개월 앞당기기 위한 절차를 추진한다.

주민등록번호와 CI가 함께 유출될 경우 개인 식별 가능성이 커지는 만큼 두 정보를 분리해 보관하도록 해 개인정보 침해 위험을 낮추겠다는 취지지만 최근 티빙 해킹 사고 등 잇따른 CI 유출 사고에 선제적 대응에 나선 것으로 풀이된다.

내년 5월→1월로 조기 시행…CI 유출 위험 선제 대응

14일 업계에 따르면 방미통위는 최근 제17차 전체회의를 열고 CI와 주민등록번호 분리·보관 시행일을 당초 내년 5월 1일에서 내년 1월 1일로 앞당기는 '연계정보 생성·처리 등에 관한 기준' 고시 개정안을 보고했다.

CI는 이용자 본인확인 과정에서 생성되는 고유 식별값이다. 주민등록번호를 기반으로 암호화해 만들어지며 2014년 8월 개인정보보호법 개정으로 일반 기업의 주민등록번호 수집·보관이 금지되면서 이를 대체하기 위해 도입됐다. 네이버·카카오 등 간편인증이나 여러 서비스 연계 로그인 시 동일한 값이 사용돼 '온라인 주민등록번호'로 불린다.

이달 12일 경기도 과천 정부청사에서 열린 제 17차 방송통신위원회 전체회의 전경./사진 제공=방송통신미디어위원회

특히 중복 가입을 막기 위해 사이트마다 다르게 운영되는 확인정보(DI)와 달리 온라인 주민등록번호 격인 CI는 모든 사이트에서 동일하다. CI 자체만으로 금융 거래가 가능한 것은 아니지만 다른 개인정보와 결합하면 맞춤형 스미싱·보이스피싱이 가능하다.

당초 방미통위는 기술적 인프라 재구축 및 검증 등에 준비기간이 필요하다는 사업자 등의 요청으로 시행일을 2027년 5월 1일로 유예한 바 있다. 다만 최근 주민등록번호와 CI가 함께 유출되는 사고가 발생해 추가 피해 위험에 대한 선제적 대응을 위해 이번 고시 개정을 추진하게 됐다고 방미통위는 설명했다.

이에 따라 향후 방미통위는 행정예고를 통한 의견수렴, 관계부처 협의, 규제심사 등을 거쳐 내년 1월 1일부터 이번 고시 개정을 본격 시행할 예정이다.

김종철 방미통위원장은 "그동안 (개인정보 유출) 사건이 빗발치면서 국민적 피해에 대한 여론도 강화됐다"며 "사업자들의 사업 수행 편의 고려해 유예기간을 뒀는데 유예기간이 과도한 점이 있지 않았나 반성하게 된다"고 말했다.

그러면서 "현실적으로 후발 조치 준비하는 사업자에 필요한 시간을 보장하는 시점에서 일정 기간 단축은 필요하다는 의견으로 고시 개정을 추진하게 됐다"며 "다시 한 번 연이어 유출 사고가 벌어져 국민 불안이 가중되는 현실을 주목해야 한다. 소중한 개인정보가 고시 개정으로 더 안전하게 지켜지길 기대한다"고 강조했다.

법적 공방 비화 티빙 유출 사태…정부 실태 점검 착수

방미통위의 이번 결정에는 온라인동영상서비스(OTT) 티빙의 개인정보 유출 사태가 결정적이란 평가가 나온다. 앞서 티빙은 지난 2일 외부의 비인가 접근으로 개인정보가 저장된 데이터베이스(DB)에 접속이 이뤄졌고 개인정보 파일이 외부로 전송된 정황을 확인했다고 밝혔다.

구체적인 유출 항목은 아이디, 이름, 생년월일, 성별, CI, DI, 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호 등이며 지금까지 확인된 피해 규모는 약 1300만명으로 추정된다.

이에 대해 최주희 티빙 대표는 지난 3일 사과문을 통해 "이용자 여러분께서 믿고 맡겨주신 정보를 지켜드리지 못했으며 그 책임은 전적으로 티빙에 있다"며 "피해 구제와 이용자 보호를 위해 끝까지 책임지겠다"고 사과했다.

티빙 공지사항 캡처./사진=티빙 홈페이지 캡처

이에 방미통위는 최근 티빙 마포 본사를 찾아 CI 안전조치 및 관리실태 점검을 실시했다. 구체적으로 △CI를 제공받은 목적 범위 내에서 처리했는지 △CI 저장·전송 과정에서 암호화했는지 △침해사고 발생시 대응 계획을 수립했는지 등을 점검한 것으로 전해진다.

방미통위 관계자는 "점검 결과 CI 유출 방지를 위한 안전조치를 하지 않는 등 위법 사항이 확인될 경우 위원회 의결을 거쳐 과태료 부과나 시정명령 등의 조처를 내릴 수 있다"고 설명했다.

다만 이러한 사과에도 티빙 이용자들의 법적 대응에 나서는 등 논란이 더욱 커지고 있다. 앞서 법무법인 지향은 개인정보 유출로 피해를 본 티빙 이용자 1051명을 대리해 티빙을 상대로 손해배상 청구 소송을 지난 11일 서울중앙지법에 제기했다. 청구액은 원고 1인당 30만원이다.

지향은 "이번 소송으로 티빙 사태가 단순한 외부 해킹이 아니라 기초적인 법적 보호 조치조차 다 하지 않은 기업의 명백한 인재(人災)이자 기만적·위법적 약관 운영의 결과임을 규명하고 엄중한 책임을 묻고자 한다"고 전했다.

대리인단은 피해자들이 영구적인 2차 범죄 위험에 노출된 점, 티빙이 서비스와 무관한 개인정보를 강제 수집한 점 등을 토대로 티빙에 배상 책임이 있다고 주장할 예정이다.

권용삼 기자

기사원문보기

Copyright © 블로터