티빙 유출된 ‘CI’ 뭐길래…암호화 여부가 관건 [IT백과] 작성일 06-06 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QuklDOTsye"> <figure class="figure_frm origin_fig" contents-hash="166230a2a47c0960bc2583d59f17c9cc0e3015a2f883345c8c3ecdacfff91150" dmcf-pid="x7ESwIyOTR" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/06/552796-pzfp7fF/20260606070018426mnqh.jpg" data-org-width="579" dmcf-mid="PoFK0zV7vd" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/06/552796-pzfp7fF/20260606070018426mnqh.jpg" width="658"></p> </figure> <p contents-hash="193d70f9b19e830245948c442c6d31ea139abef3280fa8a8892f3fcce5e3037c" dmcf-pid="ya78q2Q9vM" dmcf-ptype="general">[디지털데일리 정혜승기자] 온라인동영상서비스(OTT) 티빙의 개인정보 유출 사고와 관련해 정부가 민관합동조사단을 꾸리고 조사에 착수했다. 특히 이번 사고에서는 '온라인 주민등록번호'로 불리는 연계정보(CI)가 포함된 것으로 알려지면서 티빙이 해당 정보를 암호화해 저장했는지가 핵심 쟁점으로 떠오르고 있다.</p> <p contents-hash="f8caa7d04dc3cc2ab05a982c7287a1f69427d000782a27f94bb3271d7e2fac91" dmcf-pid="WNz6BVx2Sx" dmcf-ptype="general">6일 업계에 따르면 과학기술정보통신부는 지난 3일 침해사고 조사 심의위원회를 열고 민관합동조사단을 구성했다. 정부는 한국인터넷진흥원(KISA)과 클라우드 서비스 분야 민간 전문가 등이 참여하는 조사단을 통해 사고 원인과 피해 규모 등을 파악하고 있다.</p> <p contents-hash="aeb5202e3a01e575d64d0c2ec7cf21f9a15ffa2b9dc26dec8695e09a563596c7" dmcf-pid="YjqPbfMVCQ" dmcf-ptype="general">티빙은 지난 3일 이용자들에게 개인정보 유출 사실을 통지하고 사과문을 발송했다. 유출된 정보는 아이디, 이름, 생년월일, 성별, CI, DI 등이다.</p> <p contents-hash="ffb5e54ac49acd789d02f9f862ec51e26017feb5a51824224b19f670b8a12a6b" dmcf-pid="GABQK4RfTP" dmcf-ptype="general">특히 이번 사고는 CI가 유출 대상에 포함됐다는 점에서 주목받고 있다. 방송미디어통신위원회는 지난 4일부터 서울 마포구 티빙 본사에서 CI 관련 점검을 진행 중인 것으로 알려졌다. 정부는 사고 발생 시점과 경위, 정보보호 조치 이행 여부 등을 살펴보고 있으며, 티빙이 CI를 암호화해 저장했는지 여부도 주요 점검 대상이 될 전망이다.</p> <p contents-hash="efd88f2d51fa45d253e045b13d5394aa7d7aa9daf8b984aabee6227f0f2721a0" dmcf-pid="Hcbx98e4h6" dmcf-ptype="general">CI는 이용자 본인확인 과정에서 생성되는 고유 식별값으로, 주민등록번호를 기반으로 암호화해 만들어진다. 2014년 8월 7일 개인정보보호법(제24조의2) 개정으로 일반 기업의 주민등록번호 수집·보관이 원칙적으로 금지되면서 이를 대체하기 위해 도입됐다. 네이버·카카오 등 간편인증이나 여러 서비스의 연계 로그인 과정에서 동일한 값이 사용되는 만큼 일각에서는 '온라인 주민등록번호'로 불린다.</p> <p contents-hash="6a06da01add79017a98ef177e25de499e2a8d5c979cf6bc41da5134109c99258" dmcf-pid="XkKM26d8T8" dmcf-ptype="general">문제는 기업이 보유한 CI를 별도의 보호조치 없이 저장했을 경우다. 지난해 롯데카드는 약 129만명의 CI가 유출되는 사고를 겪었다. 이후 방미통위는 롯데카드가 CI 관련 안전조치 의무를 충분히 이행하지 않았다고 판단해 과태료 1125만원을 부과했다. 업계에 따르면 당시 롯데카드는 수집한 CI를 암호화하지 않은 상태로 저장했던 것으로 전해졌다.</p> <p contents-hash="c48550bfbabf8db8414fc3768eddd07dd37bfdd4ae81f640119565c58912354e" dmcf-pid="ZE9RVPJ6h4" dmcf-ptype="general">다만 현행법상 기업이 CI를 반드시 암호화해 저장해야 하는 것은 아니다. 그럼에도 개인정보 보호 차원에서 암호화를 적용하는 것이 업계 관행으로 자리 잡고 있다는 설명이다. 한 보안업계 관계자는 "CI를 암호화하지 않은 상태로 보관했다면 관리 책임 문제가 제기될 수 있다"고 말했다.</p> <p contents-hash="2473f761ead6ccc31e6dba60bc0a939368f45f6f22bfccab9bf89f779fbca572" dmcf-pid="5D2efQiPvf" dmcf-ptype="general">티빙의 경우 CI 암호화 여부에 따라 사고의 파장이 달라질 수 있다는 관측이 나온다. 티빙은 CJ 계열사로, CJ그룹은 통합 멤버십 서비스인 CJ원(One)을 통해 통합 ID 체계를 운영하고 있다. 이에 따라 향후 영향 범위에 대한 우려도 제기된다.</p> <p contents-hash="d236c7a62679c8154dd5d83d1f837d94187c6e156db4414ca3f7fa2fc313c748" dmcf-pid="1cbx98e4SV" dmcf-ptype="general">다만 전문가들은 CI 유출만으로 곧바로 계정 탈취나 주민등록번호 복원이 가능한 것은 아니라고 설명한다. 공격자가 CI를 악용하기 위해서는 추가적인 개인정보와 인증 수단이 필요하며, CI 자체도 단방향 암호화 방식으로 생성돼 주민등록번호를 역산할 수 없다는 것이다.</p> <p contents-hash="7716e57524b172755b75143697632d3cd87f0414246f66d5e71a829f6af17388" dmcf-pid="tkKM26d8h2" dmcf-ptype="general">잇따른 CI 유출 사고를 계기로 제도 개선 필요성도 제기된다. 업계 일각에서는 기존 CI를 새로운 값으로 교체하는 'CI2' 도입이나 일정 기간마다 값을 갱신하는 유효기간제 등이 대안으로 거론된다.</p> <p contents-hash="a43a35f928dd869785c530a2ffcfb70613cc172418cbf6ee4853c79f847474f9" dmcf-pid="FE9RVPJ6S9" dmcf-ptype="general">한 보안업계 관계자는 "현재처럼 고정된 CI 구조는 한번 유출되면 사실상 변경이 어렵다는 한계가 있다"며 "CI에 유효기간을 두고 주기적으로 값을 갱신해 해킹 자체를 무력화할 필요가 있다"고 말했다.</p> <p contents-hash="de91b86a526b2ed1696ad32ed7edc8991c67e43ba1cb4b7c231342f4c40f2ddb" dmcf-pid="3D2efQiPSK" dmcf-ptype="general">반면 이번 사고만으로 CI 제도 전면 개편을 논하기에는 이르다는 의견도 있다. 곽진 아주대학교 사이버보안학과 교수는 "보안 관점에서 동일한 식별정보를 여러 곳에서 사용하는 데 따른 위험성은 존재한다"면서도 "이번 사고를 계기로 CI 활용 방식을 점검할 필요는 있지만, 제도 자체를 전면적으로 손봐야 할 수준인지는 추가 분석이 필요하다"고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 [컴퓨텍스 2026] 결산 ㊦ "모바일·그래픽 칩 경계 없다"… 타이베이 달군 반도체 영토 전쟁 06-06 다음 11억명 즐긴 IP의 변신…스마일게이트, AAA급 '크로스파이어'로 서구권 겨냥 06-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
