방송미디어통신위원회가 개인정보를 유출한 티빙의 CI(연계정보) 관리실태에 대한 긴급 점검에 나선다. 지난해 롯데카드에 이어 티빙에서도 '디지털 마스터키'로 불리는 CI가 유출되면서 2차 피해우려가 커진 데 따른 조치로 풀이된다.
4일 업계에 따르면 방미통위는 이날부터 서울 마포구 티빙 본사에서 CI 안전조치 및 관리실태 점검을 실시한다. △CI를 제공받은 목적범위에서 처리했는지 △CI 저장·전송과정에서 암호화했는지 △침해사고 발생시 대응계획을 수립했는지 등을 점검한다. 방미통위 관계자는 "점검결과 CI 유출방지를 위한 안전조치를 하지 않는 등 위법사항이 확인될 경우 위원회의 의결을 거쳐 과태료 부과나 시정명령 등의 조처를 내릴 수 있다"고 말했다.
CI는 본인확인기관이 개인에게 부여하는 고유 식별값으로 주민등록번호를 암호화한 88바이트(Byte) 길이의 문자열이다. 2014년 개인정보보호법 개정으로 본인확인기관이 아닌 일반 기업과 웹사이트는 주민등록번호를 수집·보관할 수 없게 되면서 도입됐다. 사실상 '온라인 주민등록번호'로 모든 사이트에서 동일하다.
CI 단독으로 금융사기가 가능한 것은 아니지만 티빙처럼 여러 개인정보와 함께 유출되면 2차 피해가 발생할 수 있다. 해커가 CI를 매개로 특정 이용자의 A카드사 가입여부를 파악한 뒤 '티빙에서 A카드 결제시 할인혜택 제공'과 같은 맞춤형 미끼문자를 발송해 범죄 성공률을 높이는 식이다.
최운호 서강대 메타이노베이션센터장은 "해커가 CI를 이용해 과거 유출된 여러 데이터베이스를 하나의 인물 프로필로 통합할 수 있다"며 "이름, 연락처, 가입서비스, 금융기관 이용여부 등의 정보를 결합하면 실제 서비스명을 포함한 정교한 표적형 피싱공격이 가능할 수 있다. AI(인공지능) 기술발전으로 이러한 공격은 더욱 고도화할 것"이라고 말했다. 다만 이에 대해 방미통위 관계자는 "완전히 불가능한 시나리오는 아니지만 현실화 가능성은 높지 않다"고 했다.
이에 CI 제도개선이 요구되지만 CI 암호화 의무는 내년 5월에 시행돼 공백이 있다. 방미통위 관계자는 "현재 연구반을 운영하며 CI 제도개선 방안을 검토 중"이라며 "CI 암호화 의무화는 내년부터 시행되지만 사업자들이 선제적으로 적용하도록 권고한다"고 말했다.
한편 티빙은 지난달 31일 개인정보가 저장된 데이터베이스(DB)에 신원 미상의 해커가 접근해 CI를 비롯 10여개의 정보가 유출됐다고 밝혔다.