티스토리 뷰
처음 이 뉴스를 봤을 때 순간 멈칫했습니다.
저도 티빙,웨이브,넷플릭스,카카오...심지어 kt까지 사용하고 있는지라 번쩍 눈이 뜨였 습니다.
"티빙 1953만 명 유출"이라는 숫자보다 "KT도 털렸다", "카카오도 해킹됐다"는 말이 더 눈에 먼저 들어왔거든요.
카카오 계정으로 티빙에 로그인해왔던 저로서는 괜히 포털 비밀번호부터 바꾸고 싶었습니다.
그런데 실제 내용을 뜯어보니, 오해가 꽤 크게 퍼진 사고였습니다.

사고 배경: 제휴사가 털린 게 아니라 티빙 DB 하나의 문제였다
이번 사고의 핵심은 단순합니다.
티빙이 자체적으로 보관하던 회원 DB(데이터베이스)가 외부 침입을 받은 것입니다.
DB란 서비스를 운영하는 회사가 가입자 정보를 한곳에 모아 저장해두는 데이터 저장소를 말합니다.
문제는 이 사실보다 "KT 이용자도 포함됐다", "카카오 로그인 사용자도 피해를 봤다"는 식의 표현이 마치 KT나 카카오 시스템 자체가 공격받은 것처럼 읽힌다는 점입니다.
실제 데이터 흐름을 따라가 보면 이야기가 달라집니다.
KT 제휴 상품으로 티빙을 쓰는 가입자는 KT로부터 이용권 코드를 받고, 티빙 서비스를 쓰려면 티빙에 직접 회원가입을 해야 합니다.
이 과정에서 이름, 이메일, 전화번호 같은 개인정보는 티빙 서버에 저장됩니다. KT는 고객 정보를 티빙에 넘긴 적이 없습니다.
KT 관계자 역시 "이번 사고는 티빙 운영사 DB에 대한 외부 침입이며 KT 시스템과 무관하다"고 밝혔습니다.
네이버·카카오 간편로그인을 쓴 이용자도 구조는 동일합니다.
간편로그인은 SSO(Single Sign-On) 방식의 인증 수단입니다. SSO란 하나의 계정으로 여러 서비스에 로그인할 수 있도록 연결해주는 인증 방식으로, 이 과정에서 이용자가 동의한 정보(이름, 이메일, 전화번호 등)가 티빙에 전달되어 티빙 DB에 저장됩니다.
즉 카카오나 네이버 서버가 뚫린 것이 아니라, 티빙이 받아서 저장한 정보가 유출된 것입니다.
통신 3사 제휴 가입자 약 41만 6천 명을 포함한 전체 유출 인원 1953만 명은 이미 처음부터 하나의 사고, 하나의 DB 침해 안에 있던 숫자입니다. 별도 해킹이 추가로 발생한 것이 아닙니다.
핵심 분석: CI 유출이 왜 문제가 되고, 실제 위험은 어디서 오는가
보안 전문가들이 이번 사고에서 예민하게 보는 부분은 CI(Connecting Information·연계정보) 유출 여부입니다.
CI란 주민등록번호를 직접 수집하지 않아도 동일인을 식별할 수 있도록 본인확인기관이 발급하는 고유 식별값입니다. 쉽게 말해 주민번호의 역할을 대신하는 암호화된 코드라고 보면 됩니다.
제가 이 부분을 읽으면서 솔직히 좀 불안했습니다.
CI가 유출됐다는 게 어느 사이트에서든 내 계정에 접근할 수 있다는 말처럼 들렸거든요.
그런데 전문가들 설명은 달랐습니다. CI는 로그인 인증 정보가 아니라 이용자를 식별하기 위한 값입니다.
CI만 갖고 있다고 해서 다른 서비스에 로그인하거나 계정을 탈취하는 것은 기술적으로 어렵습니다.
게다가 CI를 만드는 데 사용하는 암호화 키를 변경하면 새로운 CI를 발급할 수 있어서, 영구적인 식별자도 아닙니다.
다만 여기서 한 가지 예외가 있습니다. 일부 서비스가 설계 오류로 CI를 로그인 ID처럼 사용하도록 구현했을 경우입니다.
이건 CI의 문제가 아니라 해당 서비스의 보안 설계 결함입니다. 정부 민관합동조사단이 이 부분을 들여다보고 있는 이유도 여기에 있습니다.
유출된 항목을 정리해보면, 이번 사고에서 피해자들이 실질적으로 주의해야 할 위험은 다음과 같습니다.
- 이름, 이메일, 전화번호 등 기본 개인정보가 유출된 만큼 피싱(Phishing) 문자·이메일 시도 가능성이 높아집니다. 피싱이란 공식 기관이나 기업을 사칭해 개인정보나 금융정보를 탈취하는 수법입니다.
- 동일한 비밀번호를 여러 서비스에서 쓰고 있다면, 크리덴셜 스터핑(Credential Stuffing) 공격에 노출될 수 있습니다. 크리덴셜 스터핑이란 유출된 아이디와 비밀번호 조합을 다른 사이트에 자동으로 대입해 로그인을 시도하는 공격 방식입니다.
- CI 유출 여부와 실제 악용 가능성은 민관합동조사단의 최종 조사 결과에 따라 달라질 수 있습니다.
개인정보보호위원회는 이번 사고를 포함해 대규모 개인정보 유출 사건에 대한 조사 및 제재 권한을 갖고 있으며, 유출 규모가 이 정도 수준이면 과징금 부과와 재발 방지 명령이 뒤따를 가능성이 높습니다(출처: 개인정보보호위원회).
보안 실천: 이번 사고가 알려준 현실적인 대비법
제가 이번 일을 겪으면서 가장 크게 느낀 건, 뉴스 제목만 보고 움직이면 판단을 그르칠 수 있다는 점이었습니다.
"KT도 털렸다"는 표현 하나가 수많은 사람에게 불필요한 공포를 심어줬고, 정작 어디서 어떻게 피해를 봤는지 파악하는 데 시간이 걸렸습니다.
사고 대응에서 정보의 정확성이 얼마나 중요한지 다시 확인한 셈입니다.
실제로 이런 유출 사고가 반복되는 배경 중 하나는 플랫폼 생태계가 복잡해진 구조에 있습니다.
하나의 계정으로 수십 개 서비스를 연결하는 환경에서 한 곳이 뚫리면 파급력이 커집니다.
한국인터넷진흥원(KISA)에 따르면 개인정보 침해 신고 건수는 매년 꾸준히 증가하고 있으며, 간편로그인 및 제3자 연동 서비스의 확산이 피해 범위를 넓히는 요인 중 하나로 지목되고 있습니다(출처: 한국인터넷진흥원).
개인이 지금 당장 실천할 수 있는 항목은 다음과 같습니다.
- 자주 쓰지 않는 서비스는 탈퇴해 불필요하게 개인정보가 남아있지 않도록 정리한다.
- 서비스마다 다른 비밀번호를 사용하고, 패스워드 매니저를 활용해 관리한다.
- 2FA(Two-Factor Authentication·이중 인증)를 설정한다. 이중 인증이란 비밀번호 외에 문자 인증코드나 앱 인증 등 한 단계를 더 거쳐야 로그인할 수 있도록 하는 보안 설정입니다.
- 출처가 불분명한 문자나 이메일의 링크는 클릭하지 않는다.
기업 입장에서도 이번 사고는 단순한 해프닝으로 넘길 수 없습니다.
1953만 명이라는 숫자는 국내 OTT 서비스 이용자 규모를 고려하면 사실상 성인 인구 상당 부분에 해당합니다.
데이터베이스 접근 제어, 이상 징후 탐지 시스템, 개인정보 암호화 수준을 재점검해야 한다는 목소리가 높아질 수밖에 없습니다.
결국 이번 티빙 사태는 데이터를 모으는 모든 플랫폼이 보안 책임을 어디까지 져야 하는지 다시 묻는 사건이었습니다.
저는 이 사고를 계기로 간편로그인으로 연결된 서비스 목록을 직접 점검하고, 쓰지 않는 계정 몇 개를 정리했습니다.
거창한 변화가 아니어도 됩니다. 지금 자신이 어디에 어떤 정보를 맡겨두고 있는지 한 번 확인하는 것만으로도 충분한 시작이 됩니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 보안 또는 법률 조언이 아닙니다.
