"티빙 '털린' 분들, 앞으로 몇 달간 피싱 시달릴 것" 비밀번호 바꿔도 소용없다고?
2026.06.05 11:10
YTN라디오(FM 94.5) [YTN 뉴스FM 슬기로운 라디오생활]
□ 방송일시 : 2026년 6월 5일 (금)
□ 진행 : 박귀빈 아나운서
□ 출연자 : ☎ 홍준호 성신여대 융합보안공학과 교수
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.
[관련 동영상 보기]
◆ 박귀빈 : 국내 대표 OTT 서비스인 '티빙'에서 개인정보 유출 사고가 일어났습니다. 이름과 생년월일, 이메일 정보는 물론이고요. 이용자를 식별한 고유 정보인 CI까지 유출된 걸로 알려졌습니다. 이번 티빙 개인 정보 유출 사태의 심각성 어느 정도인지, 또 이용자들은 이후에 어떤 점을 주의하는 게 좋겠는지 알아보죠. 성신여대 융합보안공학과 홍준호 교수 전화 연결합니다. 교수님 안녕하세요.
◇ 홍준호 : 네, 안녕하세요. 성신여대 융합보안공학과 홍준호 교수입니다.
◆ 박귀빈 : 교수님도 티빙을 이용하세요?
◇ 홍준호 : 저는 이용하지는 않고요. 가족분들이 이용하고 있습니다.
◆ 박귀빈 : 그러면 교수님 가족분들 중에도 개인 정보가 유출이 됐다는 얘기네요.
◇ 홍준호 : 네, 그렇습니다.
◆ 박귀빈 : 이번에 유출 사고 어느 정도로 심각한가요?
◇ 홍준호 : 사실 이번 티빙 개인정보 유출 사고는 일단 단순히 일부 회원 정보가 외부로 유출된 사건으로 보기는 어렵습니다. 유출된 정보가 아이디나 이름, 생년월일, 성별 그리고 이메일, 비밀번호뿐만 아니라 연계 정보 CI까지 포함됐다는 점에서 '상당히 심각한 사고'로 보고 있습니다. 특히 CI는 보통 본인 확인 과정에서 생성되는 고유 식별 값이기 때문에 여러 온라인 서비스에 걸쳐서 동일인을 식별하고 연결할 수 있는 특성을 갖고 있습니다. 따라서 공격자가 다른 유출 정보와 결합할 경우에 개인 활동 이력이라든지 계정 정보를 추가적으로 악용될 가능성이 있고요. 또한 개인정보 유출 사고가 위험성이 현재 금전적 피해가 발생했는지 여부만으로 판단은 안 되고요. 이번 사고에 유출된 정보가 보이스피싱이라든지, 스미싱, 계정 탈취나 사회공학적 해킹 등과 같이 2차 범죄로 활용될 수 있습니다. 따라서 사업자가 단순히 사고 고지에 그칠 게 아니라 이용자 보호나 피해 예방을 위한 적극적 모니터링과 대응 조치를 마련해야 한다고 생각합니다.
◆ 박귀빈 : 개인정보가 유출됐다고 하면 이름, 생년월일, 이메일 정보, 내 주민번호까지 유출됐다 이러면 직접적으로 큰일 났다 이런 생각이 들거든요? 근데 'CI'라는 개념으로 기사가 나다 보니까, 물론 지금 간략히 정리는 해 주셨지만 정확하게 어떤 건지 잘 모르겠어요. '온라인 주민번호'라는 표현도 쓰더라고요?
◇ 홍준호 : 'CI'가 즉 '연계 정보'인데요. 우리가 휴대전화에서 본인 확인하거나 아이핀 등과 같이 '본인 확인 과정에서 생성되는 개인 식별 값'이라고 생각하시면 편하실 것 같고요. 서로 다른 서비스에서 같은 사람이 맞는지 확인하는 데도 쓰인다고 봅니다. 그래서 주민등록처럼 사람이 눈으로 보고 생년월일이나 성별을 알 수 있는 정보는 아닌데요. 한 사람에게 사실상 고정적으로 부여되고 여러 서비스의 동일인을 연결할 수 있다는 점에서 '온라인 주민등록번호'라고 불리기도 하고요. 특히 한 번 생성된 CI는 비밀번호처럼 사용자가 임의로 변경하거나 폐기가 어렵습니다. 유출되더라도 쉽게 재발급 받을 수도 없는 구조라는 점에서 관리의 중요성이 매우 중요하다고 생각을 합니다.
◆ 박귀빈 : 주민번호 다 번호가 다 다르잖아요. 나만 갖고 있는 번호잖아요. 그러니까 '온라인상에서 뭔가 서비스가 연동되거나 그 시스템 안에서 그냥 주민번호처럼 쓰이는 개념'이다 이렇게 생각하면 되는 거예요?
◇ 홍준호 : 맞습니다.
◆ 박귀빈 : 그럼 모든 개인 정보 털린 사람들이 다 고유의 CI를 갖고 있는 거고, 내가 만약에 여기서 하나의 CI를 유출 당했어요. 그러면 내가 A, B, C 온라인 사이트 여러 가지 군데에 가입이 돼 있을 거 아니에요? 그럼 다 동일하게 지금 그 정보가 유출돼 있는 상태인 거네요?
◇ 홍준호 : 그렇죠. 기본적으로 CI는 여러 온라인 서비스에서 동일인을 확인하기 위해서 사용되는 고유 식별 정보라고 보시면 되기 때문에 CI가 한 번 생성이 되면 같은 사람이 계속 동일하게 부여되도록 설계되어 있습니다. 그래서 사용자가 비밀번호처럼 임의로 변경할 수 없는 부분이고요. 많은 서비스에서 CI 기준의 회원 정보를 관리하고 있기 때문에 CI가 변경되면 기존 계정과 연결이 끊어질 수도 있습니다. 그래서 이러한 이유로 CI가 재발급이 매우 어렵고, 유출되더라도 쉽게 새로운 값으로 바꿀 수 없어서 철저하게 관리가 돼야 되는 거죠.
◆ 박귀빈 : 그러면 우리가 인터넷에 많이 가입하잖아요. 회원 가입할 데 엄청 많잖아요. 그러면 지금 CI로 다 연동되고 있는 거예요?
◇ 홍준호 : 네. 실질적으로 CI로 대부분 연결이 되어 있는 부분이죠.
◆ 박귀빈 : 그러면 어떻게 해요? 이번에 정보 유출된 거 비밀번호만 바꾸고 이래도 되는 건가요?
◇ 홍준호 : 비밀번호만 바꾸면 되는 게 아니고요. 피해 이용자가 비밀번호 변경이 충분하다고 보기는 어렵습니다. 일단 우선 티빙 계정 비밀번호를 즉시 바꾸는 게 필요하고요. 같은 비밀번호를 사용한 다른 서비스도 모두 변경할 필요가 있다고 생각을 합니다. 가능하면 2단계 인증을 설정할 필요가 있고요. 2단계 인증이 비밀번호를 알고 있더라도 로그인할 때 휴대전화 인증 번호나 인증 앱 확인을 한 번 더 요구하는 보안 기능이기 때문에, 비밀번호가 유출되더라도 다른 사람의 계정이 접속이 훨씬 어려워집니다. 그래서 추가적으로 문자나 이메일로 온 링크를 눌러서 로그인하지 말고 반드시 공식 앱이나 공식 홈페이지에 직접 접속하는 것이 바람직하고요. 휴대전화 소액결제 차단이나 한도 축소를 하는 것도 바람직하다고 생각을 하고요. 통신사 명의도용 방지 서비스 확인이라든지, 카드 간편 결제 이상 거래 알림 설정도 필요하다고 생각하고. 앞으로 기본적으로 몇 달 동안은 개인정보 유출을 미끼로 피싱 연락이 올 수 있다는 점도 염두에 두면 좋을 것 같습니다.
◆ 박귀빈 : 티빙 측은 이렇게 말을 했는데요. "CI만으로는 계정 탈취나 금융 거래가 어렵다".
◇ 홍준호 : 사실 CI만으로는 티빙 측이 설명한 것처럼 곧바로 계정 탈취나 금융 거래로 이어진다고 단정하기는 어렵습니다. 그런데 이름이나 생년월일, 성별이나 휴대전화번호 그다음에 이메일 일부가 함께 유출됐다는 점이 중요하고요. 공격자가 이러한 정보를 조합해서 정교하게 피싱이나 스미싱 메시지를 발송을 하는 거거든요. 그래서 고객센터를 사칭한다거나, 본인 확인의 절차나 계정 복구 과정에서 악용을 시도할 수 있습니다. 예를 들면 티빙 정보 유출 보상 안내. 지금 많이 유출이 됐기 때문에 이런 유출 보상 안내라든지 계정 보호를 위한 본인 확인이 필요하다는 식의 문구로 이용자를 속일 가능성이 크고요. 또 다른 사이트에 이미 유출된 비밀번호나 연락처 정보를 결합해서 계정 탈취에도 위험이 있다고 생각을 합니다.
◆ 박귀빈 : 사실 이 CI라는 말을 지난번에 롯데카드에서도 CI 유출됐다고 하면서 그때 저희가 접했던 것 같아요. 그리고 교수님이 이렇게 지적을 하셨네요. 'CI 수집의 필요성을 재검토해야 한다' 이건 어떤 말씀인가요?
◇ 홍준호 : 그러니까 일단 기업들이 CI를 수집하는 이유는 이용자의 중복 가입 방지라든지 본인 확인이나 성인 인증, 그다음에 이벤트 관련해서 중복 참여를 방지한다거나 이런 데 보통 많이 활용하기 때문에 CI를 수집을 하는 거고요. 기업 입장에서는 이름이나 전화번호는 바뀔 수 있는데요. CI는 비교적 안정적인 식별 값이기 때문에 편리한 부분이 있습니다. 하지만 바로 그 특성이 개인 정보 측면에서 위험 요인이 될 수 있다고 생각을 하고요. 여러 서비스가 같은 CI를 보유하면 유출 시에는 개인의 온라인 활동에 서로 연결될 수 있는 고리가 생깁니다. 따라서 업무상 편리하다는 이유로 CI를 폭넓게 저장하는 관행은 재검토돼야 한다고 생각을 합니다.
◆ 박귀빈 : 'CI2 도입'이나 '재발급 가능한 식별 체계'가 대안으로 나오고 있습니다. 이건 어떤 말인가요?
◇ 홍준호 : 일단 이번 사고를 계기로 CI 관리 체계 크게 바뀔 필요가 있다고 생각합니다. 그래서 첫 번째로는 CI가 반드시 저장해야 하는 서비스인지부터 다시 따져볼 필요가 있다고 생각하고요. 두 번째로는 저장하더라도 암호화나 접근통제 분리 보관에 대한 강화를 해야 된다고 생각을 합니다. 그리고 세 번째는 유출이 확인된 경우에 재발급 또는 대체 식별자로 전환할 수 있는 관리가 필요한 부분이고요. CI2나 재발급 가능한 식별 체계의 논의가 이런 맥락에서 중요하다고 생각을 하고요. 해외에서는 서비스마다 서로 다른 식별자를 쓰거나 같은 이용자라도 기간별 또 목적별로 다른 값이 발급되도록 설계하는 방식을 활용하고 있습니다. 이렇게 하면 특정 서비스의 정보가 유출되더라도 다른 서비스 간 개인 정보가 연결되는 위험을 줄일 수 있다고 생각을 합니다.
◆ 박귀빈 : 이렇게 기업별로 인터넷 사이트에 가입시킬 때 CI를 수집하는 곳이 많은가요? 대부분 다 CI 수집하나요?
◇ 홍준호 : 네. 대부분이 보통 CI를 많이 수집을 하고 있습니다.
◆ 박귀빈 : 그럼 저희가 회원 가입할 때 다 동의 체크해야지 가입이 되잖아요? 그 안에 보면 내용이 다 들어 있습니까?
◇ 홍준호 : 네. 대부분의 CI 수집하는 이유는 기본적으로 이용자 중복 방지라든지, 본인 확인이나 성인 인증, 이벤트 중복 참여 방지하거나 제휴 서비스에 연동하기 위해서 보통 기업에서 많이 활용하고 있는 부분이라서요.
◆ 박귀빈 : 그럼 동의를 안 하면 일단 가입이 안 되겠네요.
◇ 홍준호 : 네. CI를 수집하는 이유는 그런 부분에 있다고 보시면 됩니다.
◆ 박귀빈 : 그렇군요. 그러니까 제가 그걸 왜 여쭤봤냐면, 개인 이용자가 우리 한 명 한 명이 이걸 조심할 수 있는 부분이 아닌 것 같아서 여쭤본 겁니다. 그러면 이거 기업 차원에서 대책을 마련한다거나... 왜냐하면 요즘에 계속 개인정보 유출 사태가 나오고 있잖아요. SKT 시작으로 KT, 쿠팡, 롯데카드 이번에 티빙까지거든요? 그래서 '아 또 터졌구나'라는 생각이 처음엔 굉장히 심각하다가 지금은 약간 무감각해진 경우도 있고 그런 것 같습니다. 그래서 개인정보 보호 체계에 대해서 이걸 어떻게 대책을 마련해야 되나, 개인적으로는 뭘 준비할 건 없을 것 같고요. 보안 대책이 마련돼야 될 것 같아요. 한 말씀 부탁드려요.
◇ 홍준호 : 일단 개인정보 유출 사고가 반복되는 이유는 단순하게 특정 기업의 보안 실패 때문만은 아니라고 생각을 하고요. 우리 사회 전반에서 개인 정보를 많이 수집하고 오래 보관하는 문화가 여전히 남아 있기 때문이라 생각합니다. 그리고 기업들이 서비스 운영이나 마케팅이나 고객 관리 등의 이유로 다양한 개인 정보를 수집하지만 정작 수집한 정보를 최소한으로 보유하고 안전하게 관리하는 데 상대적인 소홀한 부분이 있거든요. 또 하나의 문제가 개인정보 보호가 경영의 핵심 과제가 아니라 규제 준수를 위한 의무 사항 정도로 인식되는 경우가 많다는 점입니다. 그래서 개인 정보가 기업의 중요한 자산이면서도 동시에 보호해야 할 책임의 대상인데 일부 기업들에서는 여전히 비용이나 효율성 관점에서 접근하는 경향이 많고요. 특히 사고가 발생한 이후에 대응보다는 사고를 예방하기 위한 투자와 점검이 충분했는지를 되돌아봐야 된다고 생각을 하고요. 반복되는 유출 사고는 기술 문제가 아니라 개인 정보를 일단 최소 수집을 해야 되고, 그다음에 보유 기간 관리나 접근 통제, 내부 보안 거버넌스 등의 기본적인 개인 정보 체계를 제대로 작동했는지에 대해서 문제점들이 많이 발생하고 있기 때문에 한번 이런 문제들을 다시 확인해야 된다고 생각을 합니다. 또 마지막으로는 일단은 이용자들이 '또 터졌구나'라고 체념하는 상황이 결코 바람직하지는 않고요. 개인 정보 유출은 일상적인 사고처럼 받아들여지는 순간에 기업의 책임 의식도 약해질 수 있다고 생각합니다. 이제는 사고 건수 자체보다는 왜 같은 유형의 사고가 반복되는지, 또 개인 정보가 꼭 필요한 만큼 수집과 보관의 체계가 있는지에 대한 사회적 점검이 필요하다고 생각합니다.
◆ 박귀빈 : 예, 오늘 말씀 여기까지 듣죠. 지금까지 홍준호 성신여대 융합보안공학과 교수였습니다. 고맙습니다.
◇ 홍준호 : 네, 감사합니다.
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!