[IT 동아] [주간보안동향] 티빙, 이용자 개인정보 유출…침해 사고 조사 착수 外

[IT동아 김예지 기자] 사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

국내 CJ ENM 계열 OTT 티빙(TVING)이 해킹 공격을 받아 이용자 개인정보가 유출되는 사태가 발생했다. 티빙은 지난 6월 1일 침해 사고를 신고했으며, 3일 홈페이지 공지를 통해 이용자 개인정보 유출 사실을 알리고 공식 사과했다. 과학기술정보통신부(이하 과기정통부), 개인정보보호위원회(이하 개인정보위)는 민관합동조사단을 구성해 조사에 착수했다고 밝혔다.

티빙에 따르면 신원 미상의 해커가 이용자 개인정보가 저장된 DB에 비인가 접근해 파일을 외부로 무단 전송한 흔적이 포착됐다. 유출된 항목은 아이디, 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호 등이다. 이중 휴대전화번호(마지막 4자리)와 이메일(도메인 제외 ID 부분), 환불 계좌번호, 비밀번호는 암호화된 상태로 유출됐다.

정확한 피해 규모는 조사 중이나, 월간 활성 이용자(MAU) 700만 명에 달하는 만큼 파장이 작지 않을 전망이다. 특히 CI가 유출된 점이 우려를 키운다. CI는 주민등록번호를 대체하는 온라인 본인확인 식별 정보로, 다른 서비스와의 연계해 악용될 가능성이 있어 단순 계정 정보 유출보다 피해 범위가 클 수 있다.

티빙은 “유출 정황을 인지한 직후 공격자 IP를 차단하고 클라우드 접근 통제 정책을 전면 수정했으며, 추가 피해 확산 예방을 위해 DB 접속 모니터링을 강화했다”고 설명했다. 공식 사과문을 통해 재발 방지를 약속하는 한편, 이용자들에게 티빙을 포함해 동일 계정 정보를 사용하는 다른 서비스의 비밀번호를 즉시 바꿀 것을 권고했다. 개인정보위는 자료 제출 요구와 현장 조사를 통해 유출 경위, 피해 규모, 안전조치 의무 준수 여부 등을 확인하고, 법 위반이 확인되면 엄중히 처분하겠다고 밝혔다.

그러나 티빙은 불과 반년 전인 지난해 12월에도 타 서비스에서 탈취한 아이디 및 비밀번호를 무작위로 자동 대입해 로그인하는 ‘크리덴셜 스터핑’ 표적이 되어 KISA에 침해 사실을 접수한 전력이 있다. 이 때문에 보안 불감증과 더불어 정보보호 관리 소홀이 이번 유출 사태를 불러온 것이 아니냐는 지적이 나오고 있다.

개인정보위가 국민 생활과 밀접한 7대 분야 총 52개 서비스를 ‘2026년도 개인정보 처리방침 평가 대상’으로 선정하고, 오는 6월 말부터 현장 검증을 본격화한다. 대상은 국민연금공단, 국민건강보험공단, 한국장학재단, 대한적십자사 등 공공앱(9개), 대학교(9개), 리멤버, 사람인, 웍스피어, 원티드랩, 인크루트 등 채용플랫폼(7개), 가연결혼정보, 듀오정보 등 만남중개서비스(7개)이다.

아울러 루이비통코리아, 샤넬코리아, 몽클레르코리아, 티파니코리아 등 해외명품브랜드(6개), 카카오엔터테인먼트 등 팬덤플랫폼(6개), 롯데지알에스, 컴포즈커피, 투썸플레이스, 한국맥도날드 등 프랜차이즈(8개) 등도 이름을 올렸다. 고위험 개인정보를 대규모로 처리하거나, 프로파일링 같은 신기술 기반 처리가 이뤄져 권리침해 우려가 있는 분야에 집중했다.

올해는 개인정보 보호책임자(CPO)의 관리 수준과 산업별 특성을 반영한 분야별 특화지표를 새롭게 도입하는 것이 특징이다. 처리방침의 적정성·가독성·접근성을 기준으로 삼되, 공개된 처리방침과 실제 서비스 운영 현황이 일치하는지도 대조한다. 특히 개인정보 열람·민원 청구 등 실질적인 권리 행사 절차가 실제로 작동하는지도 점검 대상이다.

이용자 관점의 평가도 강화된다. 개인정보위는 일반 국민으로 구성된 평가단 규모를 기존 100명에서 300명으로 세 배 늘렸다. 평가 결과가 우수한 기업에는 인센티브를 부여하는 반면, 미흡한 기업에는 자율 개선을 유도한다. 개선이 이뤄지지 않으면 개인정보보호법 제61조에 따른 개선권고 등 후속 조치도 검토한다.

6월 1일부터 에너지 분야 마이데이터 제도가 본격 시행됐다. 이에 따라 이용자는 자신의 가스·전기 사용량과 요금 정보 등 에너지 관련 개인정보를 한번에 확인하고, 이를 기반으로 맞춤형 절감 서비스를 제공받는다. 원하는 기관이나 서비스 사업자에게 데이터를 직접 전송할 수 있게 됐다.

이번 조치는 지난해 3월 전 분야 마이데이터 제도가 도입된 이후, 의료·통신 분야에 이어 세 번째로 개인정보 전송요구권 적용 범위를 넓힌 것이다. 개인정보위는 국민 체감도가 높은 10대 중점분야(의료, 통신, 에너지, 교육, 고용, 문화·여가, 복지, 교통, 부동산, 유통)를 선정해 단계적 확장을 추진 중이다. 이번 정보 전송의 주체는 도시가스 사업자와 한국전력공사 등 주요 에너지 공급기관이며, 전송 대상은 가스·전기 사용량과 요금 정보, 에너지 사용량 등이다.

정부는 이를 통해 국민 맞춤형 에너지 절감 서비스, 요금 최적화, 탄소중립 실천 지원 등 전방위적인 서비스 생태계가 조성될 것으로 기대하고 있다. 개인정보위는 에너지 분야의 인프라 구축이 완료되는 대로, 납부 이력 데이터를 연계해 대안 신용평가 서비스(나이스평가정보)를 연말 출시할 계획이다. 금융 신용이력이 부족했던 취업준비생, 사회초년생, 노년층에게 신용점수 개선 기회를 제공할 수 있다는 구상이다.

개인정보위가 지난 5월 제10회 전체회의에서 네이버의 AI 검색 에이전트 서비스 ‘AI탭(AI Tab)’에 대한 사전적정성 검토 결과를 의결했다. 사전적정성 검토는 AI 등 신기술·서비스 기획·개발 단계에서 개인정보보호법 준수 방안을 확인하기 어려울 때, 사전 협의를 통해 향후 불이익 처분을 면제해주는 제도다.

AI탭은 기존 검색처럼 웹페이지 목록을 나열하는 방식에서 벗어나, 핵심 내용을 요약 및 분석해 일대일 채팅 형태로 제공하는 AI 챗봇 서비스다. 이용자의 검색 이력은 물론, 블로그·카페 활동기록(전체공개 콘텐츠 한정)과 쇼핑 이력 등 네이버 내 관련 서비스 데이터셋을 개인화된 답변 생성에 활용한다.

개인정보위는 세 가지 조건을 전제로 AI탭의 적법 운영을 인정했다. 먼저 개인화 답변을 원하지 않는 이용자를 위한 데이터 활용 거부 옵션을 알기 쉽게 안내하고, 이용자 피드백을 검토해 사후 통제권 보장 방안을 지속 보완해야 한다. 또한 개인정보 처리방침을 통해 맞춤 정보 항목을 투명하게 공개하고, 오남용 및 유출 방지를 위해 추가 안전조치를 마련해야 한다.

이용자 이력 분석 과정에서는 사상·신념, 건강·성생활 등과 같은 민감정보가 추론되지 않도록 차단해야 한다. 특히 주민등록번호·계좌번호·신용카드 정보 등은 답변에 포함되지 않아야 한다. 한편, 개인정보위는 AI탭이 연내 정식 출시되면 실제 이행 여부를 점검할 예정이다.

시스코가 지난 6월 4일(현지시간) 미국 라스베이거스에서 열린 ‘시스코 라이브 US 2026’에서 IT 인프라 통합 관리 플랫폼 ‘시스코 클라우드 컨트롤(Cisco Cloud Control)’을 공개했다. 이는 사람과 AI 에이전트가 단일 환경에서 네트워킹, 보안, 컴퓨팅, 가시성, 협업을 통합 관리하도록 지원한다. 단일 로그인으로 전체 IT 환경을 통합 관제하되, 최종 통제권은 사람에게 유지된다. 고객은 자연어로 자체 애플리케이션과 에이전트를 구축할 수 있다. AWS, 마이크로소프트, 구글 클라우드, 슬랙, 서비스나우 등 50개 이상의 외부 플랫폼과도 연동 가능하다.

시스코 클라우드 컨트롤은 도메인 전반의 대규모 데이터를 통합하는 ‘교차 도메인 텔레메트리’로 운영자와 AI 에이전트가 동일 정보를 기반으로 대응하도록 지원한다. 시스코는 40년간 축적한 네트워크 운영 데이터를 기반으로 개발된 ‘딥 네트워크 모델’을 제공한다. 실시간 협업 공간 ‘시스코 AI 캔버스’에서 작업하며, ‘클라우드 컨트롤 스튜디오’에서는 오픈AI의 코덱스(Codex)를 기반으로, 자체 에이전트와 애플리케이션을 자연어로 직접 개발·배포할 수 있다.

보안 측면에서도 강화가 이뤄졌다. 시스코는 앤트로픽의 프로젝트 글래스윙과 오픈AI의 데이브레이크 프로그램 창립 멤버로 참여해 잠재 취약점을 선제 차단하고 있다. 최근 오픈소스로 공개한 ‘파운드리 시큐리티 스펙(Foundry Security Spec)’을 통해 모든 보안 담당자가 AI 보안 검증 체계를 적용할 수 있도록 지원하고 있다.

양자 컴퓨팅 위협에 대한 대비도 본격화됐다. 시스코는 올해 12월까지 핵심 제품 포트폴리오 대부분에 양자 내성 통신 기능을 지원하고, 새로 출시하는 라우터·스위치·방화벽에는 양자 내성 보안 부팅을 기본으로 적용할 방침이다. 아울러 시스코 IQ를 통한 ‘양자 준비도 평가’ 서비스도 7월 글로벌 출시할 예정이다.

IT동아 김예지 기자 (yj@itdonga.com)