최근 온라인동영상서비스(OTT) 플랫폼 '티빙'에서 약 1953만명 규모의 개인정보 유출 사고가 발생했습니다. 유출된 항목에는 이름과 전화번호, 이메일은 물론이고 CI(연계정보)와 DI(중복가입확인정보)까지 포함돼 파장이 일고 있습니다.
티빙은 주민등록번호는 유출되지 않았다며 가입자들을 안심시키려 했지만, 이용자들 사이에선 "사실상 온라인상 주민등록번호가 유출된 것이 아니냐"는 우려 섞인 반응이 적지 않습니다. 그렇다면 CI는 정확히 무엇이고 유출 시 위험도는 어느 정도일까요?
주민번호 안털렸다고 괜찮은 걸까
온라인에서 본인 인증을 위해 사용하는 식별 정보인 'CI(Connecting Information, 연계정보)'는 주민등록번호를 88바이트(Byte) 길이로 암호화한 값입니다. 주민등록번호를 대체한다는 점에서 '온라인 주민등록번호'라고 불리기도 합니다.
과거에는 많은 기업들이 회원 가입 과정에서 무분별하게 주민등록번호를 수집했습니다. 개인정보 유출 우려가 커지면서 지난 2014년부터 불필요한 주민등록번호 수집이 엄격하게 제한되고 있습니다. 이에 주민등록번호를 대신해 본인 여부를 확인할 수 있도록 만든 정보가 바로 CI입니다.
그렇다면 CI 유출은 주민등록번호가 유출된 것과 같은 의미일까요? CI는 법적으로 주민등록번호와 같은 고유식별정보나 민감정보에 해당하지 않습니다. 또 CI를 통해 주민등록번호를 알아내는 것도 불가능합니다.
커지는 불안감…피해 확산 우려
CI가 유출됐다는 사실만으로 금융 거래나 스미싱·보이스피싱 등 2차 피해가 곧바로 발생하는 것은 아닙니다.
하지만 이번 티빙 개인정보 유출 사고에서는 이름, 생년월일, 휴대전화번호, 이메일, 결제 이력 정보 등이 함께 유출됐습니다. 이 같은 정보들이 CI와 결합될 경우 이용자를 특정하기가 쉬워집니다. 이름과 서비스 이용 사실 등을 활용해 더욱 정교한 맞춤형 스미싱에 악용될 가능성이 있습니다.
예를 들어 해커가 불특정 다수를 대상으로 발송하는 "택배 배송 오류가 발생했습니다"라는 문자가 아닌 "홍길동님, 티빙 정기결제 오류가 발생했습니다. 결제 수단을 재등록해 주세요"와 같이 실제 안내 메시지로 오인할 수 있는 형태의 공격이 가능해지는 것입니다.
걱정을 더 키우는 건 CI가 티빙 내에서만 활용하는 개인정보가 아니라는 점입니다. 이용하는 서비스가 달라도 동일인이면 같은 CI 값을 활용한다는 특징이 있습니다. 쉽게 말해 티빙에서 유출된 CI가 다른 사이트에서도 활용될 수 있다는 겁니다. 특히 티빙은 네이버, 카카오 계정 연동 로그인을 제공해 이용자들의 불안감이 큽니다.
현재까지 티빙 측에서는 네이버나 카카오 계정 자체가 유출된 정황은 없다는 입장입니다. 카카오와 네이버의 로그인 인증 정보는 각 플랫폼 사업자가 별도로 관리하고 있어 티빙에서 유출된 정보만으로 다른 플랫폼 계정에 직접 접근할 수는 없다고 합니다.
그럼에도 CI는 온라인상에서 개인을 식별하는 데 활용되는 정보인 만큼 유출 시 각별한 주의가 필요합니다. 정부도 최근 관련 제도 정비에 나서고 있습니다. 방송미디어통신위원회는 주민등록번호와 CI가 함께 유출될 경우 개인 식별 가능성이 커진다고 보고 두 정보를 분리·보관하는 시행일을 기존 시점보다 4개월 앞당기기로 했습니다.
정부의 제재 수위도 관심입니다. 현행 개인정보보호법은 관련 매출액의 최대 3%까지 과징금을 부과할 수 있도록 하고 있습니다. 티빙의 최종 제재 수위는 향후 개인정보위 조사 결과에 따라 결정될 전망입니다.
