[KJtimes=김봄내 기자]국내 온라인동영상서비스(OTT) ‘티빙’에서 회원 개인정보 유출 사고가 발생해 충격을 주고 있다. 업계 안팎에서는 단순 해킹 사건을 넘어 기업의 개인정보 보호 체계 전반에 대한 검증이 필요하다는 지적의 목소리가 높아지고 있다.
◆ DB 접근 넘어 외부 반출까지…단순 해킹 아닌 정보유출 사고
티빙은 3일 공지를 통해 지난 2일 개인정보가 저장된 데이터베이스(DB)에 비인가 접근이 발생했으며 신원 미상의 해커가 개인정보 파일을 외부로 전송한 정황을 확인했다고 밝혔다. 유출 항목에는 아이디, 이름, 생년월일, 성별, 휴대전화번호, 이메일, CI(연계정보), DI(중복가입확인정보), 환불 계좌번호 등이 포함됐다.
이 같은 사실이 공지되면서 보안업계를 중심으로 이번 사고가 단순 시스템 침입이 아니라 실제 개인정보가 저장된 데이터베이스에 접근해 외부 반출까지 이뤄졌다는 점에 대해 주목하고 있다.
보안업계에 따르면 일반적으로 해킹 사고를 시스템 침입, 권한 확보, 데이터 접근, 데이터 반출 단계로 구분하고 있다. 따라서 티빙이 밝힌 내용대로라면 해커는 이미 최종 단계인 데이터 반출까지 성공한 셈이 된다.
보안업계에서 주목하고 있는 또 다른 점은 회사가 사고 이후 조치사항으로 ‘클라우드 접근 통제 정책 변경’을 언급했다는 것이다.
한 정보보호 전문가는 “통상 기업들은 사고 원인과 직접 관련된 대응책을 공지문에 포함하는 경우가 많다”면서 “이에 따라 업계에서는 관리자 계정 탈취, 접근 권한 설정 오류, 클라우드 보안 정책 미비, 협력사 계정 악용 등 다양한 가능성이 제기된다”고 지적했다.
그는 이어 "기업이 접근통제 정책 변경을 별도로 강조했을 경우 권한 관리나 접근통제 영역에서 문제가 발견됐을 가능성을 배제하기 어렵다"며 “다만 현재까지 공개된 정보만으로는 정확한 침해 경로를 특정하기 어렵다”고 부연했다.
하지만 업계에서 보는 더 큰 문제는 사고 규모와 피해 범위가 아직 공개되지 않았다는 점이다. 현재 티빙은 유출 회원 수와 데이터 반출 규모를 밝히지 않고 있는 상태다. 전체 가입자 가운데 몇 명이 영향을 받았는지, 유료 회원과 휴면 회원까지 포함되는지, 실제 반출된 데이터 용량이 어느 정도인지는 확인되지도 않았다.
한 정보보호 전문가는 “최초 침입 시점과 회사의 인지 시점 사이에 얼마나 큰 차이가 있는지도 중요한 조사 대상이 될 것”이라며 “사이버 공격은 통상 수일에서 수개월 동안 잠복한 뒤 정보 탈취가 이뤄지는 경우가 적지 않은데 만약 해커가 장기간 내부 시스템에 머물렀음에도 이를 탐지하지 못했을 경우 보안 모니터링 체계 전반에 대한 점검이 불가피하다”고 강조했다.
◆ 유출 규모·침입 시점은 미공개…보안관리 책임 규명 주목
보안업계에 따르면 이번 유출 항목 중 보안 전문가들이 특히 주목하는 정보는 ‘CI’와 ‘DI’다. CI는 본인인증 과정에서 생성되는 개인 식별값을 말한다. DI는 동일 이용자의 중복 가입 여부를 확인하기 위한 식별정보다. 일반 이용자에게는 익숙하지 않은 정보지만 다른 개인정보와 결합될 경우 추가 범죄에 악용될 가능성이 있다는 평가가 나온다.
현재 한국인터넷진흥원(KISA)과 개인정보보호위원회가 조사에 착수한 상태다. 조사 과정에서는 단순히 해킹이 발생했는지 여부보다 개인정보보호법상 요구되는 기술적·관리적 보호조치를 적절히 이행했는지가 핵심 쟁점이 될 것으로 전망되고 있다.
업계에서는 접근통제, 암호화, 권한 관리, 이상행위 탐지 체계 등이 적정 수준으로 운영됐는지가 향후 책임 판단의 기준이 될 가능성이 높을 것으로 예상하고 있다.
업계 관계자는 "이번 사건의 본질은 해커가 들어왔다는 사실보다 왜 개인정보 데이터베이스 접근과 외부 반출을 막지 못했는지에 있다"며 "유출 규모와 최초 침입 시점이 공개돼야 사고의 실체를 제대로 판단할 수 있을 것"이라고 전망했다.
한 정보보호 전문가는 “티빙이 CJ ENM의 핵심 디지털 플랫폼이라는 점도 향후 조사에서 중요한 변수”라면서 “현재까지는 티빙 서비스에 국한된 사고로 알려졌지만 계열사 간 인증 체계나 인프라가 일부 공유되고 있을 경우 추가 점검이 필요할 수 있다”고 관측했다.
