유출 규모·암호 방식도 깜깜이…티빙 '해킹 사태' 미궁 속 작성일 06-05 32 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4ahhCSHlCe"> <figure class="figure_frm origin_fig" contents-hash="578fc170e529d273852495887d4f439213da095d5c881782b5c61cee3f90b3e6" dmcf-pid="8NllhvXSSR" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/05/552796-pzfp7fF/20260605141518191idby.jpg" data-org-width="640" dmcf-mid="f6ooLaDgyd" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/05/552796-pzfp7fF/20260605141518191idby.jpg" width="658"></p> </figure> <p contents-hash="a2876c389217ecf3b01cec2527e631921ecafbaa147be30426e931f9a9d5d0c4" dmcf-pid="6ZKKb2Q9yM" dmcf-ptype="general">[디지털데일리 김보민기자] 온라인동영상서비스(OTT) 티빙에서 발생한 개인정보 유출 사고가 미궁 속에 빠졌다. 티빙은 "유출 정보 중 일부는 암호화 조치가 돼 있다"고 해명했지만 적절한 수준의 보안 조치였는지 의문을 제기하는 목소리도 피어오르고 있다.</p> <p contents-hash="04c9aec9ccd28dea403018ee7da14a5539744d20c28a41e9c672c725188a6643" dmcf-pid="P599KVx2Cx" dmcf-ptype="general">5일 보안 업계에 따르면 티빙은 지난 2일 이용자 개인정보를 저장하는 데이터베이스(DB)에 비인가 접근이 이뤄져 개인정보가 유출된 정황을 확인했다. 유출된 개인정보 항목은 아이디(ID), 이름, 생년월일, 성별, 휴대폰번호, 이메일, 환불 계좌번호, 비밀번호, 연계정보(CI), 중복가입확인정보(DI) 등이다.</p> <p contents-hash="ca5ccd9ae8dd9b54d35782bc5381aa7670747bd16401ef716113d517086e5fa8" dmcf-pid="Q1229fMVhQ" dmcf-ptype="general">정확한 유출 규모는 밝히지 않았다. 이와 관련해 과학기술정보통신부와 한국인터넷진흥원(KISA0은 티빙 측에 자료 보전을 요구하고 심의 결과를 토대로 조사단을 구성하기로 결정했다. 개인정보보호위원회도 유출 신고를 접수 받아 조사에 착수했다.</p> <p contents-hash="131b67223d336f674770010291f1ede324172c901c13a114aec801c4884a5b72" dmcf-pid="xtVV24RfhP" dmcf-ptype="general">티빙이 3일 게시한 설명문에서 4차례 반복 언급된 단어는 '암호화'다. 티빙 측은 유출된 정보 중 휴대폰번호 마지막 4자리, 이메일 ID, 환불 계좌번호에 암호화 조치가 완료돼 있다고 설명했다. 비밀번호의 경우 단방향 암호화가 돼 있다고 부연했다. 지난해 국내 주요 기업에서 암호화 조치가 미흡해 대규모 보안 사고가 발생한 만큼, 사전 대비책이 있었다는 점을 강조한 것으로 풀이된다.</p> <p contents-hash="da032d035434fad7b8a9860ea3a18230c182f447a861dc31e92cefd42ec21245" dmcf-pid="yoIIOhYCW6" dmcf-ptype="general">전문가들은 티빙이 언급한 암호화 조치가 통상적인 기본 조치가 맞다고 이야기한다. 일례로 비밀번호를 단방향으로 암호화하는 것은 비밀번호를 특정한 해시값으로 변환하는 방식이라, 원칙적으로는 원래 비밀번호를 역산해 복원할 수 없다. 해커가 DB에 접근하더라도 이용자 실제 비밀번호를 확인할 수 없도록 하는 방법이다. 이용자가 로그인할 때도 서버는 입력된 비밀번호를 다시 해시 처리한 뒤 저장된 값과 일치(매칭)하는지만 확인한다.</p> <p contents-hash="951020a4cbc0f24815bcc346361e23afeb24fbcbc496bd23a49e74f16a8d61d8" dmcf-pid="WgCCIlGhS8" dmcf-ptype="general">다만 해시값이 유출되더라도 비밀번호가 지나치게 단순하거나 보안 조치가 미흡한 경우 추측 공격 대상이 될 수 있다. 세부적인 암호화 방식에 따라 추가 피해 여부를 점쳐볼 수 있다는 의견도 제기된다. 익명을 요구한 암호학 전문가는 "암호화 방식이 실제 얼마나 강력한 조치인지는 조사를 통해 밝혀질 것"이라며 "일단 (해커가 복호화할 때까지) 시간을 번 것은 사실"이라고 말했다.</p> <p contents-hash="be77815fcaf19feb3fe2993f8602f1d6ef7877d4e40e7a2b6ba933dd7b8b4a67" dmcf-pid="YahhCSHlW4" dmcf-ptype="general">정보탈취형 악성코드 인포스틸러(Infostealer)를 활용한 공격일 경우 2차 피해를 예상하는 목소리도 있다. 유출 정보가 인포스틸러를 통해 수집된 것이라면 브라우저 자동 저장 정보까지 함께 노출될 가능성이 있기 때문이다. 통상 브라우저에는 자동 로그인 정보를 비롯해 주민등록번호, 주소, 쿠키 등이 포함된다.</p> <p contents-hash="db712a3997d6f71101af046b253437e0cdb9952f3e640e5edce563f731ee1844" dmcf-pid="GNllhvXSlf" dmcf-ptype="general">티빙 로그인에 활용한 연동 플랫폼 비밀번호까지 바꿀 필요성이 제기되는 이유다. 현재 티빙은 자체 로그인을 비롯해 네이버, 카카오, CJ ONE, 애플, 페이스북, X(구 트위터) 정보를 연계해 간편 로그인이 가능하도록 앱을 운영하고 있다. 티빙은 "동일한 계정 정보를 사용하는 티빙 및 기타 서비스의 비밀번호 변경을 권장드린다"고 말했다.</p> <p contents-hash="3d6ecde78d942d0c7f5a02b1de5a146aaa841fdf56ffdbdb8ed6d37f2f812f6f" dmcf-pid="HjSSlTZvhV" dmcf-ptype="general">한편 KISA는 티빙 개인정보 유출 사고를 악용해 스미싱, 보이스피싱 등 사기 피해가 발생할 가능성이 있다며 사용자 주의가 필요하다고 당부했다. KISA는 "피해 보상, 피해 사실 조회, 환불 등 키워드를 활용한 사칭 스미싱 유포 및 보사 안내를 빙자한 사기 범죄 시도가 예상된다"며 "출처가 불분명한 사이트 주소 클릭을 자제하고 정상 사이트와 일치 여부를 확인해 피해를 예방해야 한다"고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 DGIST, ‘진짜 AI 인재’ 키운다…영재 발굴부터 창업까지 전주기 플랫폼 가동 06-05 다음 경운중 문지호 학생, 암흑물질 탐지 원리 모형화 연구로 KCI 등재 학술지 게재 06-05 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
