'온라인 주민등록번호' CI 노출에
명의 도용 등 범죄악용 우려 커져
티빙 "추후 구제절차 지원 방침"
3일 업계에 따르면 티빙은 지난 2일 이용자의 개인정보를 저장하는 데이터베이스(DB)에 비인가 접근이 이뤄져 개인정보가 유출된 사실을 확인하고, 이날 새벽 홈페이지와 애플리케이션 공지를 통해 이를 이용자들에 알렸다.
현재까지 확인된 유출 항목은 △ID △이름 △생년월일 △성별 △CI △중복가입확인정보(DI) △휴대폰 번호(마지막 4자리 암호화) △이메일(도메인 제외 ID 부분 암호화) △환불 계좌번호(암호화) △비밀번호(단방향 암호화) △이외 서비스 이용과 관련한 정보다.
앞서 티빙은 지난해 12월에도 사전 확보한 아이디·비밀번호를 무차별 대입해 로그인을 시도하는 '크리덴셜 스터핑' 공격을 받았지만, 개인정보는 유출되지 않은 바 있다.
이번 사고로 피해를 입은 이용자 수는 아직 파악되지 않았다. 지난 4월 기준 모바일인덱스가 집계한 티빙의 월간활성이용자수(MAU)가 770만명에 달하는 점을 감안하면 피해 규모가 상당할 것으로 예상된다.
특히 '온라인 주민등록번호'로 불리는 CI까지 유출돼 2차 피해 가능성을 배제할 수 없게 됐다. CI는 주민등록번호를 기반으로 일방향 암호화해 생성한 온라인 식별번호다. 주민등록번호를 변경하지 않는 한 한번 부여되면 변경이 불가능하다. 다른 개인정보와 결합되면 명의 도용 등 범죄에 악용될 수 있다.
티빙은 유출 사실을 파악한 직후 공격자 IP 접근을 차단하고, 클라우드 접근 통제정책을 변경했으며, DB 접속 모니터링을 강화하는 긴급 대응조치에 나섰다. 또 한국인터넷진흥원(KISA)에 신고해 정확한 사고 원인과 영향 범위를 조사 중이다. 티빙은 고객센터에 접수된 이용자 피해 사례를 확인한 뒤 구제 절차를 지원할 방침이다.
티빙 관계자는 "현재 사고 원인과 영향범위를 면밀히 확인하는 동시에 고객 보호조치를 최우선으로 시행하고 있으며, 확인되는 사실은 투명하게 공개하겠다"며 "정부 및 관계 기관 조사에도 성실히 협조하며 재발 방지대책 마련에 최선을 다하겠다"고 말했다.
장민권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지