[현장] 사과하면 끝?…직원 털리고 고객 뚫린 ′CJ 보안망′ 총체적 난국

[현장] 사과하면 끝?…직원 털리고 고객 뚫린 'CJ 보안망' 총체적 난국: 이준현 기자 / 기사승인 : 2026-06-05 08:29:14

핵심 식별값 'CI' 유출…과기정통부 '중대 사고' 판단
반년 전 해킹 경고 및 계열사 내부 정보 유출 연달아 터져
최주희 대표 사과 "책임 전적으로 티빙에"…피해 구제 약속

티빙 로고. (사진=티빙)

[알파경제 = 이준현 기자] 국내 최대 온라인동영상서비스(OTT) 티빙에서 대규모 회원 개인정보 유출 사고가 발생했다. 주민등록번호를 대체하는 핵심 식별값인 연계정보(CI)까지 뚫리며 명의도용 등 2차 피해 우려가 커지고 있다.

과학기술정보통신부는 사안의 심각성을 고려해 이를 '중대 사고'로 규정하고 즉각 조사에 나섰다.

반년 전 다크웹 발 해킹 시도에 이어 최근 CJ그룹 계열사 내부 직원 정보 유출까지 연달아 발생하면서 전사적 보안 관리 체계가 도마에 올랐다.

◇ 온라인 주민번호 'CI' 유출…과기정통부 '중대 사고' 규정

티빙은 3일 홈페이지를 통해 지난 2일 데이터베이스(DB) 비인가 접근으로 인한 개인정보 유출 정황을 확인했다고 공지했다. 신원 미상의 해커가 DB에 접속해 파일을 외부로 전송한 것으로 파악됐다.

유출 항목은 아이디, 이름, 생년월일, 성별, 휴대폰 번호, 이메일, 환불 계좌번호, 비밀번호 등이다. 주민등록번호와 결제 관련 유효 정보는 제외됐으나, 핵심 식별값인 CI와 중복가입확인정보(DI)가 빠져나갔다.

CI는 주민등록번호를 일방향 암호화해 만든 '온라인 주민등록번호'다. 다른 개인정보와 결합할 경우 표적형 금융 사기나 명의도용 범죄에 악용될 위험이 크다.

지난 4월 기준 티빙의 월간 활성 이용자 수(MAU)는 770만 명에 달한다. 정확한 피해 규모는 확정되지 않았으나 대규모 정보 유출 가능성을 배제하기 어렵다.

과기정통부와 한국인터넷진흥원(KISA)은 티빙에 자료 보전을 요구하고 사고 원인 파악에 돌입했다. 과기정통부 침해사고 조사심의위원회는 이번 사건을 중대 사고로 판단했다.

(사진= 제공)

◇ 반년 전 '크리덴셜 스터핑' 겪고도…막지 못한 DB 해킹

티빙의 보안 취약성 논란은 처음이 아니다.

지난해 12월 다크웹에 유통된 타 서비스 계정 정보로 티빙 로그인을 시도하는 '크리덴셜 스터핑' 공격이 탐지됐다. 한 사이트에서 탈취한 정보로 다른 사이트에 무차별 대입하는 수법이다.

티빙은 지난해 12월 18일 공격을 인지하고 다음 날 KISA에 신고했다. 공격 시도 IP를 차단하고 이용자들에게 보안 강화를 권고하며 사태를 수습했다.

그러나 불과 6개월 만에 다시 대형 보안 사고가 터졌다. 과거에는 외부 계정 대입 시도에 그쳤다면, 이번에는 이용자 데이터가 저장된 핵심 DB가 직접 뚫렸다.

(사진=연합뉴스)

◇ 계열사 직원 330명 사적 정보도 샜다…무너진 CJ 보안망

외부 해킹뿐 아니라 내부 통제 시스템마저 무너진 상태다.

최근 CJ그룹 계열사에서는 인트라넷 접근 권한을 가진 내부자 소행으로 전·현직 여성 임직원 330여 명의 사적 정보가 무단 유출됐다. 해당 사건은 현재 경찰 수사가 진행 중이다.

안에서는 직원 정보가 새고, 밖에서는 회원 정보가 뚫렸다.

짧은 기간에 내부 유출과 외부 해킹이 잇따르면서 그룹 안팎에서는 전사적 보안 체계를 지적하는 목소리가 나온다.

최주희 티빙 대표. (사진=티빙)

◇ 사과하면 끝?…'직원·고객' 연쇄 유출

논란이 확산하자 티빙 대표이사는 3일 사과문을 발표했다.

최 대표는 "티빙은 외부의 비인가 접근으로 이용자의 개인정보가 유출된 사실을 확인했다"며 "이용자 여러분께서 믿고 맡겨 주신 정보를 지켜드리지 못했으며, 그 책임은 전적으로 티빙에 있다"고 말했다.

이어 "사고를 확인한 후 필요한 대응 조치를 시행했으며 현재 정부 및 관계 기관의 조사에 성실히 협조하고 있다"며 "보안 체계를 원점에서 재점검해 다시는 같은 일이 반복되지 않도록 하겠다"고 밝혔다.

최 대표는 "영향을 받으신 이용자께는 개별적으로 안내해 드리고 있다. 피해 구제와 이용자 보호를 위해 끝까지 책임지겠다"고 강조했다.

티빙은 유출 인지 직후 공격자 IP 접근을 차단하고 클라우드 통제 정책을 변경했다.

그러나 반복된 보안 참사에도 땜질식 처방과 공허한 사과만 되풀이하는 사이, 770만 이용자의 핵심 개인정보는 2차 피해의 표적이 됐다.

안팎을 가리지 않고 연달아 터진 보안 사고는 CJ그룹 전체의 안일한 보안 인식과 거버넌스 부재가 낳은 예견된 인재라는게 중론이다.

알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)