국내 온라인동영상서비스, OTT 티빙에서 개인정보 유출 사고가 발생했다.

티빙은 이용자 개인정보를 저장하는 데이터베이스에 비인가 접근이 있었고, 일부 개인정보가 외부로 유출된 정황을 확인했다고 3일 밝혔다.

티빙 관계자는 “최초 인지 시점은 6월 2일”이라며 “피해 규모는 현재 파악 중”이라고 설명했다.

티빙은 이날 새벽 1시쯤 앱과 홈페이지를 통해 1차 공지를 올리고 개인정보 유출 사실을 이용자들에게 알렸다.

현재까지 티빙이 밝힌 유출 항목은 회원 ID, 이름, 생년월일, 연계정보, CI, 중복가입확인정보, DI 등이다.

전화번호는 마지막 4자리가 암호화된 상태로, 이메일은 도메인을 제외한 ID 부분이 암호화된 상태로 유출됐다. 환불 계좌번호와 비밀번호도 암호화된 형태로 포함됐다. 이 밖에 서비스 이용 관련 정보도 유출 대상에 포함됐다.

특히 CI 유출이 눈에 띈다.

CI는 본인인증을 거친 이용자를 식별하기 위해 쓰이는 고유값이다. CI만으로 계좌 개설이나 로그인은 할 수 없다. 다만 다른 서비스에서 유출된 정보와 결합될 경우, 같은 이용자의 정보를 여러 서비스에 걸쳐 연결하는 데 악용될 가능성은 남는다.

비밀번호는 단방향 암호화된 상태로 유출됐다.

단방향 암호화는 암호화된 문자열만 보고 원래 비밀번호를 되돌리기 어렵게 만드는 방식이다. 공격자가 유출된 비밀번호 정보를 곧바로 로그인에 사용할 가능성은 낮다.

다만 비밀번호가 짧거나 단순한 경우 공격자가 무차별 대입 방식으로 원래 비밀번호를 추정할 수 있다. 티빙도 같은 계정 정보를 쓰는 티빙과 다른 서비스의 비밀번호 변경을 권고했다.

티빙은 유출 사실을 확인한 뒤 공격자 IP 접근을 차단했다고 밝혔다. 한국인터넷진흥원, KISA에도 신고했다.

회사 클라우드 환경 접근 권한도 전면 수정했고, 데이터베이스 접속 모니터링을 강화하는 등 추가 보안 점검에 들어갔다.

티빙은 고객센터를 통해 피해 접수를 받고 있다. 개인정보 악용이 의심되는 전화나 이메일을 받은 경우 고객센터로 접수하면 된다.

티빙 관계자는 “이번 보안 사고로 고객들께 심려를 끼쳐드린 점 진심으로 사과드린다”며 “사고 원인과 영향 범위를 면밀히 확인하고 고객 보호 조치를 최우선으로 시행하고 있다”고 밝혔다. 또 “확인되는 사실은 투명하게 공개하고, 정부와 관계 기관 조사에도 성실히 협조하겠다”고 말했다.