4일 보안업계에 따르면 한국인터넷진흥원(KISA) 주도로 꾸려진 민관합동조사단은 약 10명 규모로, 민간 보안기업 2곳도 참여했다. 해당 기업들은 디지털 포렌식과 침해사고 대응, 개인정보 유출 사고 조사 경험을 보유한 곳으로 알려졌다. 조사단은 초기 침투가 어떤 방식으로 이뤄졌는지와 추가 시스템 침해 여부, 개인정보 추가 유출 가능성 등을 중점적으로 들여다보고 있다.
(로고=티빙)
민관합동조사단은 실제 유출 규모와 범위를 검증하는 한편, 2차 피해 가능성을 중심으로 조사에 나서고 있다.
업계에서는 유출 규모가 예상보다 클 수 있다는 우려도 제기된다. 티빙의 유료 가입자는 500만 명을 넘어섰으며, 모바일인덱스 기준 4월 월간 활성 이용자(MAU)는 700만 명대에 달한다. 유료 가입자가 아니더라도 티빙 서비스 이용을 위해 회원 가입이 필요한 만큼 피해 대상이 1000만 명 수준에 이를 가능성도 거론된다.
특히 지난 3일 열린 침해사고 조사 심의위원회에서는 이번에 유출된 정보에 이용자의 영화·콘텐츠 시청 성향이 포함돼 있다는 점이 주목받은 것으로 전해졌다. 시청 이력은 개인의 취향과 관심사를 드러낼 수 있는 민감한 정보로 분류될 수 있어 신속한 조사 필요성이 제기됐다.
보안업계는 특히 CI 유출에 촉각을 곤두세우고 있다. CI는 본인확인기관이 발급하는 고유 식별값으로, 서로 다른 서비스에 흩어진 개인정보를 연결·식별하는 기준값으로 활용된다. CI 자체에 이름이나 전화번호, 시청 이력 등이 담겨 있는 것은 아니지만, 다른 개인정보와 결합될 경우 추가적인 정보 식별이나 악용 가능성이 있다는 지적이 나온다.
개인정보보호위원회도 이날 별도 조사에 착수했다. 개인정보위는 개인정보보호법상 안전조치 의무와 유출 통지·신고 의무 준수 여부를 확인하고, 법 위반 사항이 드러날 경우 관련 법령에 따라 엄정 조치할 방침이다.
[이데일리 이미나 기자]
정보보호공시에 따르면 티빙은 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 겸직 체제로 운영하고 있으며, 해당 직책도 임원급이 아닌 팀장·리더급이 맡고 있는 것으로 나타났다. 대규모 개인정보 유출 사고가 발생한 만큼 보안 투자 수준은 물론 조직 내 보안 책임성과 거버넌스 체계 전반에 대한 점검이 불가피할 것으로 보인다.
과학기술정보통신부 관계자는 “전날 오후 늦게 민관합동조사단이 구성돼 밤새 조사 작업이 진행됐다”며 “정확한 피해 규모와 조사 범위, 결과를 확정해 발표하기까지는 다소 시간이 필요할 것”이라고 말했다.
