한 줄 핵심: 2026년 6월 2일, OTT 서비스 티빙(Tving)의 이용자 DB에 비인가 접근이 발생해 개인정보가 유출됐다. 아이디, 이름, 생년월일, 성별, CI/DI, 휴대폰 번호, 이메일, 환불 계좌번호, 비밀번호 등이 포함됐다. 과학기술정보통신부는 즉각 KISA와 함께 민관합동조사단을 구성해 포렌식과 클라우드 전문가가 합류한 집중 조사를 시작했다. 주민등록번호와 결제 카드 정보는 유출되지 않은 것으로 확인됐다.
이 글이 필요한 사람- OTT·미디어 서비스를 운영하거나 개발하는 개발자·보안팀
- 침해사고 발생 시 신고 의무와 대응 절차를 파악하고 싶은 분
- 사용자 개인정보를 저장하는 서비스의 보안 아키텍처를 점검하려는 분
※ 이 글은 전자신문·머니투데이·뉴스1 보도와 과기정통부 공식 발표를 근거로 작성했습니다. 조사 결과에 따라 사실관계가 달라질 수 있습니다.
티빙이 공개한 유출 항목과 각각의 위험도를 정리했다.
| 유출 항목 | 처리 방식 | 위험도 |
|---|
| 아이디(이메일) | 도메인 제외 ID 부분 암호화 | 중간 — 피싱 표적 가능 |
| 이름 | 평문으로 추정 | 중간 — 다른 정보와 결합 시 위험 |
| 생년월일·성별 | 평문으로 추정 | 중간 — 신원 확인 악용 가능 |
| CI(연계정보)·DI(중복가입확인정보) | 암호화 | 높음 — 본인인증 연계 가능 |
| 휴대폰 번호 | 마지막 4자리 암호화 | 중간 — 스미싱 표적 가능 |
| 환불 계좌번호 | 암호화 | 중간 — 완전 해독 시 위험 |
| 비밀번호 | 단방향 암호화(해시) | 낮음 — 복원 어렵지만 재사용 비번 취약 |
| 주민등록번호, 카드 정보 | 유출 없음 | 해당 없음 |
CI(연계정보)는 주민등록번호를 해시한 값으로, 각 사이트에서 동일인 여부를 확인하는 데 쓰인다. CI가 유출되면 다른 서비스와의 연계 공격(계정 연동, 명의 도용)이 가능해진다. 단방향 암호화된 비밀번호는 직접 복원이 어렵지만, 레인보우 테이블 공격이나 brute force를 통한 해독 시도가 있을 수 있으므로 비밀번호 변경을 권고하는 것이 맞다.
과학기술정보통신부가 이 사고를 '중대한 침해사고'로 규정하고 민관합동조사단을 구성했다. 이 구조는 국내 대형 사이버 침해사고 때 가동되는 표준 대응 체계다.
민관합동조사단 구성:
- 과기정통부 — 사고 전반을 총괄하고 기관 간 조율을 담당한다.
- KISA(한국인터넷진흥원) — 사이버 침해 기술 분석, 악성코드 분석, 로그 분석을 수행한다.
- 포렌식 민간 전문가 — 디지털 증거 수집·보전과 공격 경로 역추적을 담당한다.
- 클라우드 서비스 전문가 — 티빙 인프라가 클라우드 기반인 경우 클라우드 로그와 접근 기록을 분석한다.
조사단이 먼저 하는 것은 자료 보전이다. 피해 기업에 로그·스냅샷·네트워크 패킷 기록 등을 삭제하지 말고 보전하도록 즉각 요구한다. 이후 어디서 어떻게 침입했는지, 얼마나 많은 데이터가 접근됐는지, 데이터가 외부로 전송됐는지를 역추적한다.
개인정보보호법 제34조는 개인정보 유출 사실을 안 날로부터 72시간 이내에 정보주체(이용자)에게 통지하도록 규정한다. 동시에 개인정보보호위원회에도 신고해야 한다. 이 의무를 어기면 최대 3천만 원의 과태료가 부과된다.
OTT(Over-The-Top) 스트리밍 서비스는 사이버 공격자에게 매력적인 표적이다. 이유가 있다.
대규모 이용자 DB
티빙·넷플릭스·왓챠 같은 OTT는 수백만에서 수천만 명의 이용자 계정을 보유한다. 개인정보의 양이 많을수록 데이터 브로커 시장에서 가치가 높아진다. 유출된 데이터는 다크웹에서 거래되거나 피싱·스미싱 공격에 활용된다.
복합적인 인증 구조
OTT는 자체 계정 외에 소셜 로그인(카카오, 네이버, 구글), 통신사 인증, 결제 수단 연동 등 여러 인증 경로를 갖는다. 이 연결 지점 각각이 잠재적 공격 벡터가 된다.
콘텐츠 접근 우회 시도
OTT에 대한 공격은 개인정보 탈취 목적 외에 프리미엄 콘텐츠 무단 접근을 위한 계정 크리덴셜 스터핑(credential stuffing)도 많다. 이는 다른 사이트에서 유출된 이메일+비밀번호 조합을 대량으로 시도해 로그인하는 방식이다.
API 표면 넓음
스트리밍 서비스는 모바일 앱, 웹, 스마트TV, 셋톱박스 등 다양한 클라이언트를 지원하는 방대한 API를 운영한다. API 엔드포인트가 많아질수록 노출 면적이 커지고, 잘못 설정된 엔드포인트 하나가 대규모 데이터 접근 통로가 될 수 있다.
자사 서비스에서 개인정보 유출이 의심될 때 개발자·운영팀이 취해야 할 행동 순서다.
0~4시간: 즉각 대응
- 의심되는 공격 경로 트래픽을 차단하고, 영향받은 시스템을 네트워크에서 격리한다.
- 서버 로그, 데이터베이스 접근 로그, 네트워크 트래픽 로그를 즉시 보전한다(삭제 금지).
- 보안팀·법무팀·경영진에 즉시 보고한다.
4~24시간: 초동 조사
- 어떤 데이터가 어느 규모로 접근됐는지 파악한다.
- 공격자가 여전히 시스템 내부에 있는지(지속적 침입, Persistent Access) 확인한다.
- 개인정보보호위원회에 침해사고 신고를 시작한다.
24~72시간: 이용자 통보
- 개인정보보호법에 따라 유출 사실을 인지한 시점부터 72시간 이내에 영향받은 이용자에게 통지해야 한다.
- 통지에는 유출된 항목, 유출 시점, 피해 최소화 방법, 담당 부서 연락처가 포함되어야 한다.
- KISA 사이버침해사고대응센터(118)에 신고한다.
사고 후에는 외부 포렌식 전문 업체를 통해 공격 경로 전체를 파악하고 같은 취약점이 다른 시스템에도 존재하는지 확인하는 과정이 필요하다.
이번 티빙 사고를 교훈으로, 사용자 DB를 보유한 서비스 개발자가 점검해야 할 항목이다.
DB 접근 통제- ☐ 운영 DB에 직접 접근 가능한 계정이 최소화돼 있는가 (최소 권한 원칙)
- ☐ DB 접근 로그가 모두 수집되고 모니터링되는가
- ☐ 비정상적인 대량 조회 시 알림이 발생하는가
- ☐ DB 계정 비밀번호는 정기적으로 교체되는가
개인정보 암호화- ☐ 비밀번호는 반드시 bcrypt/scrypt/Argon2 등 단방향 해시로 저장되는가
- ☐ CI·주민번호 등 민감 정보는 양방향 암호화(AES-256 이상)되는가
- ☐ 필요하지 않은 개인정보는 수집하지 않는가 (최소 수집 원칙)
- ☐ 암호화 키는 소스코드와 분리 보관되는가
API 보안- ☐ 모든 API 엔드포인트에 인증이 강제되는가
- ☐ 비정상적인 API 호출(크리덴셜 스터핑, 대량 조회) 탐지가 있는가
- ☐ API rate limiting이 적용돼 있는가
티빙 이용자는 지금 무엇을 해야 하나요?
비밀번호를 즉시 변경하세요. 특히 다른 서비스에서 같은 비밀번호를 쓰고 있다면 그 서비스의 비밀번호도 모두 변경해야 합니다. 크리덴셜 스터핑 공격에서 재사용 비밀번호가 가장 위험합니다. 이후 며칠 동안 스미싱 문자나 피싱 이메일에 특히 주의하세요. 유출된 이름+휴대폰 번호 조합으로 개인 맞춤형 피싱이 올 수 있습니다.
CI(연계정보)가 유출되면 어떤 피해가 생기나요?
CI는 주민등록번호를 해시한 값으로, 각 서비스가 동일인 여부를 확인하는 데 사용합니다. CI 자체로 주민번호를 역산하기는 어렵지만, 다른 개인정보(이름, 생년월일)와 결합하면 명의 도용이나 본인인증 우회에 악용될 가능성이 있습니다. 이상한 명의의 가입 승인 문자나 본인인증 시도가 오면 즉시 해당 기관에 신고하세요.
단방향 암호화된 비밀번호는 안전한가요?
bcrypt, scrypt, Argon2 같은 강력한 해시 알고리즘을 쓴 경우 복원이 매우 어렵습니다. 다만 MD5나 SHA-1 같은 구식 알고리즘을 사용했거나, 솔트(salt) 없이 해시했다면 레인보우 테이블 공격으로 복원될 수 있습니다. 사용 알고리즘이 공개되지 않은 상황에서 가장 안전한 조치는 비밀번호를 변경하는 것입니다.
개인정보 유출 발생 시 기업의 법적 의무는 무엇인가요?
개인정보보호법 제34조에 따라 유출 사실을 안 날로부터 72시간 이내에 정보주체에게 통지해야 합니다. 통지 내용에는 유출 항목, 유출 시점·경위, 피해 최소화 방법, 기관 연락처가 포함돼야 합니다. 동시에 개인정보보호위원회에 신고해야 합니다. 통지 의무를 어기면 최대 3천만 원의 과태료가 부과됩니다. 중대 침해 시 과징금(위반 관련 매출의 최대 3%)도 가능합니다.
크리덴셜 스터핑 공격을 방어하려면 어떻게 해야 하나요?
크리덴셜 스터핑은 다른 사이트에서 유출된 이메일+비밀번호를 대량으로 시도하는 공격입니다. 방어 방법: ① 로그인 실패 횟수 제한(rate limiting) ② 비정상 지역·디바이스 로그인 시 추가 인증 요구 ③ CAPTCHA 적용 ④ 다중 인증(MFA) 지원 ⑤ 유출된 비밀번호 데이터베이스(HaveIBeenPwned API 등)와 비교해 위험 비밀번호 사용 차단. 이 중 MFA 지원이 가장 효과적인 단일 방어책입니다.
소규모 서비스도 민관합동조사단 같은 지원을 받을 수 있나요?
KISA는 중소기업을 포함한 모든 사업자의 사이버 침해 신고를 받습니다. 신고 전화는 118이며, KISA 사이버침해대응센터(boho.or.kr)에서 온라인으로도 신고 가능합니다. 규모가 작더라도 개인정보 유출이 발생하면 법적 신고 의무가 있습니다. KISA는 기술 지원과 초동 분석을 제공하므로 침해사고 발생 시 즉시 연락하는 것이 좋습니다.
