CJ ENM 산하 OTT 서비스 티빙에서 발생한 개인정보 유출 사고의 후속 조치로, CJ ONE과 연동된 티빙 계정에 대한 전면 잠금 작업이 지난 2일 마무리됐다. 유출 규모는 애초 정부가 밝힌 1300만명에서 1953만명으로 늘어나며 국내 개인정보 유출 사고 가운데 역대 네 번째로 큰 규모로 집계됐다.

사고는 어떻게 시작됐나

티빙 측 설명을 종합하면, 지난 5월 30일 오후 6시 1분 개인정보가 저장된 데이터베이스(DB) 서버의 CPU 사용률이 100%까지 치솟는 이상 징후가 포착됐다. 신원이 밝혀지지 않은 공격자가 해당 DB에 접근해 개인정보 파일을 외부로 반출한 것으로 확인됐다. 티빙은 다음 날인 31일 오후 3시 9분 유출 사실을 확인했고, 6월 1일 오후 3시 8분 개인정보보호위원회에 신고한 뒤 6월 3일 이용자들에게 공지했다. 유출된 항목은 아이디, 이름, 생년월일, 성별과 함께 주민등록번호를 대체하는 연계정보(CI)·중복가입확인정보(DI), 휴대폰 번호 뒷자리와 이메일 아이디 일부(암호화), 환불 계좌번호와 비밀번호(단방향 암호화) 등이다.

왜 CJ ONE 계정까지 잠갔나

티빙은 6월 10일부터 이달 2일까지 CJ ONE 계정으로 가입한 이용자를 대상으로 순차적인 강제 로그아웃과 계정 잠금을 진행했다. CI·DI까지 유출되면서, 그룹 통합 로그인 체계인 CJ ONE으로 피해가 옮겨갈 수 있다는 우려가 나왔기 때문이다. 잠금이 걸린 이용자는 CJ ONE 홈페이지나 앱에서 본인 인증을 거쳐 비밀번호를 재설정해야 계정을 다시 쓸 수 있다.

피해 규모는 왜 계속 늘었나

이정헌 더불어민주당 의원이 개인정보보호위원회와 과학기술정보통신부에서 제출받은 자료를 근거로 공개한 유출 규모는 1953만명으로, 정부의 초기 잠정치보다 650만명 많다. 이는 쿠팡(약 3756만명), 싸이월드·네이트(약 3500만명), SK텔레콤(약 2324만명)에 이어 국내에서 네 번째로 큰 개인정보 유출 사고로 기록됐다. 티빙의 월간활성이용자 수를 크게 웃도는 규모여서, 휴면 회원 정보까지 영향을 받았을 가능성이 거론된다.

피해자들은 어떻게 대응하고 있나

법무법인 지향은 지난달 11일 서울중앙지법에 이용자 1051명을 대리해 손해배상 청구 소송을 냈다. 원고 측은 1인당 30만원의 위자료를 우선 청구했고, 조사 결과에 따라 청구 금액을 늘릴 수 있다고 밝혔다. 소송에서는 티빙이 안전조치 의무를 다하지 못했다는 점과 함께 서비스 이용기록·기기정보를 필수 수집 항목으로 정한 것이 개인정보 최소수집 원칙에 어긋난다는 주장도 제기됐다. 법무법인 세담이 별도로 모집한 소송인단도 이달 중순 기준 7만명을 넘어선 것으로 집계됐다.

내 티빙 계정도 잠겼는지 어떻게 확인하나

CJ ONE 계정으로 가입했거나 연동해 쓴 이용자라면 로그인 시도 시 잠금 여부가 표시된다. 잠긴 경우 CJ ONE 홈페이지나 앱에서 본인 인증 절차를 거쳐 비밀번호를 재설정해야 계정을 다시 사용할 수 있다.

피해 보상을 받으려면 무엇을 해야 하나

현재는 법무법인이 개별적으로 모집하는 집단소송에 참여하는 방식이 대표적이다. 소송 결과와 별도로 개인정보보호위원회의 조사·제재 절차도 진행 중이어서, 최종 배상 여부와 규모는 이후 법원 판단과 당국 발표에 따라 달라질 수 있다.


자료