국내 최대 온라인동영상서비스(OTT) 티빙의 고객 데이터베이스가 비인가 접근으로 인해 뚫리며 아이디와 비밀번호, 환불 계좌번호를 포함한 민감 정보가 대거 유출됐다. 개인정보보호위원회는 신고 접수 즉시 조사에 착수했으며 보안 조치 미비와 유출 통지 의무 준수 여부를 엄중히 따져 위법 사실 확인 시 강력한 행정 처분을 내릴 방침이다.

티빙은 지난 2일 자사 데이터베이스(DB)에 대한 외부의 비인가 접근 사실을 인지하고 이튿날인 3일 오전 2시경 개인정보보호위원회에 정식 유출 신고를 제출했다. 이번 사건으로 유출된 정보는 이름과 생년월일, 성별 등 기본 인적 사항은 물론 휴대전화번호와 이메일, 연계정보(CI), 중복가입확인정보(DI) 등 본인 인증과 직결된 핵심 데이터들을 포괄한다. 온라인 서비스 이용의 근간이 되는 식별 정보가 대량으로 노출됨에 따라 명의 도용 등 심각한 사회적 파장이 우려되는 상황이다.

특히 이용자의 경제적 피해로 직접 이어질 수 있는 환불 계좌번호와 계정 보안의 핵심인 비밀번호까지 유출 항목에 포함된 것으로 파악되어 2차 피해 우려가 확산되고 있다. 티빙 측은 유출된 항목 중 일부는 암호화되어 저장된 상태라고 밝혔으나 고도화된 해킹 기술과 대조 기법을 고려할 때 완전한 안전을 장담하기 어렵다는 것이 업계의 중론이다. 금융 정보와 연동된 데이터의 경우 보이스피싱이나 스미싱 등 조직적 범죄에 악용될 소지가 매우 높다.

개인정보보호위원회는 사건의 중대성을 감안하여 즉각적인 자료 제출 요구와 함께 실질적인 유출 경위를 파악하기 위한 현장조사에 전격 돌입했다. 위원회는 티빙이 개인정보 보호법에 명시된 기술적·관리적 안전조치 의무를 다했는지 여부를 집중적으로 들여다볼 계획이다. 침입 탐지 시스템의 정상 작동 여부와 접근 권한 관리의 적절성 그리고 내부 보안 가이드라인 준수 여부가 핵심 조사 대상이다.

정보보안 분야의 한 전문가는 "OTT 플랫폼은 방대한 이용자 결제 정보와 개인 식별 정보를 보유하고 있어 해커들의 주요 타깃이 되기 쉽다"며 "단순한 비인가 접근 차단을 넘어 데이터 접근 권한 관리 전반에 대한 근본적인 재점검이 필요하다"고 지적했다. 이는 기업의 보안 투자가 형식적인 수준에 그쳐서는 안 된다는 경고로 해석된다. 플랫폼 기업의 사회적 책임감이 그 어느 때보다 요구되는 시점이다.

현행법상 개인정보 유출 사고가 발생했을 경우 기업은 지체 없이 유출 사실을 정보주체에게 통지하고 위원회에 신고해야 할 법적 의무를 지게 된다. 조사 과정에서 보안 시스템 관리 소홀이나 유출 사실 은폐, 지연 통지 등의 위반 사항이 적발될 경우 매출액 기반의 막대한 과징금 부과 등 엄중한 법적 책임이 뒤따를 전망이다. 위원회는 법 위반 사항이 확인되는 대로 관련 법령에 따라 무관용 원칙으로 처분할 방침이다.

다만 티빙이 사고 인지 후 하루 만에 위원회에 신고를 접수하며 초기 대응 절차를 성실히 밟은 점은 향후 처분 수위 결정 시 고려될 수 있는 대목이다. 기업의 자발적인 신고와 신속한 피해 확산 방지 노력은 법 집행 과정에서 책임 경감이나 정상 참작의 근거로 작용하기도 한다. 이는 사고 발생 후 은폐에 급급하기보다 투명한 공개를 유도하여 이용자 피해를 최소화하려는 정책적 방향성과 궤를 같이한다.

이번 조사는 대형 IT 서비스 기업들의 보안 불감증에 강력한 경종을 울리는 계기가 될 것으로 보이며 향후 플랫폼 산업 전반의 보안 인프라 강화로 이어질 가능성이 크다. 이용자들은 추가적인 피해를 막기 위해 티빙과 동일한 비밀번호를 사용하는 다른 사이트의 정보를 즉시 변경하고 출처가 불분명한 문자나 메일의 링크 클릭을 철저히 지양해야 한다. 개인의 보안 수칙 준수와 기업의 철저한 관리가 맞물려야만 대규모 유출의 후폭풍을 최소화할 수 있다.