티빙 개인정보 유출 사고의 최종 피해 규모가 1953만명으로 확인됐다. 업계가 추산하는 유료 회원 수(약 500만명)의 4배에 육박하는 수준이다. 특히 유출 정보에 사실상 변경이 어려운 본인확인 정보(CI·DI)가 포함된 것으로 드러나면서 단순 개인정보 유출을 넘어 장기적인 2차 피해 가능성까지 제기된다.
18일 이정헌 더불어민주당 의원이 개인정보보호위원회와 과학기술정보통신부로부터 제출받은 자료에 따르면 티빙 해킹 사고에 따른 최종 피해자는 1953만명으로 집계됐다. 이는 국내 개인정보 유출 사고 가운데 쿠팡, SK텔레콤에 이어 세 번째로 큰 규모다.
업계가 이번 사고를 심각하게 보는 이유는 유출된 정보의 성격 때문이다. 아이디와 이름, 생년월일, 비밀번호, 환불 계좌번호 외에도 연계정보(CI)와 중복가입확인정보(DI)가 유출 목록에 포함됐다.
CI와 DI는 온라인 본인인증 과정에서 생성되는 고유 식별값이다. 주민등록번호를 직접 사용하지 않는 대신 개인을 식별하기 위해 활용되는 정보로, 업계에서는 흔히 '디지털 주민등록번호'라고 부른다. 한번 생성되면 사실상 변경이 불가능해 유출 이후에도 지속적으로 악용될 위험이 있다는 점에서 일반 개인정보보다 민감도가 높다.
특히 해커가 이름, 생년월일 등 다른 개인정보와 결합할 경우 명의도용이나 계정 탈취, 금융사기 등 추가 범죄로 이어질 가능성이 있다는 우려가 나온다. 비밀번호는 변경할 수 있지만 CI·DI는 바꾸기 어렵기 때문에 피해가 장기화될 수 있다는 지적이다.
TVING
시장에서는 피해 규모 자체에도 주목하고 있다. 현재 티빙의 월간활성이용자(MAU)는 약 882만명, 유료 회원 수는 약 500만명 수준으로 추산된다. 그러나 실제 유출 규모는 1953만명으로 집계됐다. 단순 계산으로도 현재 유료 회원 수의 약 4배에 달한다.
이 때문에 정부는 왜 이처럼 많은 개인정보가 보관되고 있었는지 조사에 나선 상태다. 업계에서는 탈퇴 회원이나 휴면 계정 정보가 유출 대상에 포함됐을 가능성도 거론된다. 개인정보보호법상 보유 목적이 사라진 개인정보는 파기해야 하는 만큼, 실제 조사 결과에 따라 제재 수위에도 영향을 줄 수 있다는 관측이 나온다.
보안 투자 축소도 논란거리다. 한국인터넷진흥원(KISA) 정보보호 공시에 따르면 티빙의 정보보호 투자액은 2023년 21억 9700만 원에서 지난해 17억 6500만 원으로 감소했다. 1년 만에 약 20% 줄어든 규모다.
기사의 이해를 돕기 위한 자료 사진 / gettyimagesBank
업계는 이번 사고가 단순 해킹 사건을 넘어 플랫폼 사업자의 개인정보 관리 체계 전반을 점검하는 계기가 될 수 있다고 보고 있다. 특히 현재 이용자 규모를 크게 웃도는 1953만건의 개인정보가 어떤 경위로 보관됐는지가 향후 조사 과정의 핵심 쟁점이 될 전망이다.
한편 티빙을 상대로 한 개인정보 유출 손해배상 소송에는 지난 16일 기준 9만명 이상이 참여 의사를 밝힌 것으로 집계됐다.