티빙, 유출 정보에 '디지털 마스터키' CI 포함
다른 개인정보 결합시 맞춤형 스미싱 가능해
방미통위 "티빙, 안전조치 미흡시 과태료"
방송미디어통신위원회가 개인정보를 유출한 티빙의 연계정보(CI) 관리 실태에 대한 긴급 점검에 나선다. 지난해 롯데카드에 이어 티빙에서도 '디지털 마스터키'로 불리는 CI가 유출되면서 2차 피해 우려가 커진 데 따른 조치로 풀이된다.
4일 업계에 따르면 방미통위는 이날부터 서울 마포구 티빙 본사에서 CI 안전조치 및 관리실태 점검을 실시한다. △CI를 제공받은 목적 범위 내에서 처리했는지 △CI 저장·전송 과정에서 암호화했는지 △침해사고 발생시 대응 계획을 수립했는지 등을 점검한다.
방미통위 관계자는 "점검 결과 CI 유출 방지를 위한 안전조치를 하지 않는 등 위법 사항이 확인될 경우 위원회 의결을 거쳐 과태료 부과나 시정명령 등의 조처를 내릴 수 있다"고 말했다.
CI는 본인확인기관이 개인에게 부여하는 고유 식별값으로, 주민등록번호를 암호화한 88바이트(Byte) 길이의 문자열이다. 이용자가 티빙에서 본인인증을 진행하면 본인확인기관은 주민등록번호 대신 CI를 제공해 티빙이 동일인 여부를 확인할 수 있도록 한다. 2014년 개인정보보호법 개정으로 본인확인기관이 아닌 일반 기업과 웹사이트는 주민등록번호를 수집·보관할 수 없게 되면서 도입됐다.
티빙은 지난달 31일 개인정보가 저장된 데이터베이스(DB)에 신원 미상의 해커가 접근한 정황을 확인하고 6월1일 한국인터넷진흥원(KISA)에 신고했다. 2일 조사 과정에서 아이디, 비밀번호(암호화), 이름, 생년월일, 성별, CI, DI(중복가입확인정보), 휴대전화 번호(마지막 4자리 암호화), 이메일 주소(아이디 암호화), 환불 계좌번호(암호화) 등이 유출된 사실을 확인했다.
지난해 롯데카드에 이어 티빙에서도 CI가 유출되면서 2차 피해 우려가 커진다. 중복 가입을 막기 위해 사이트마다 다르게 운영되는 DI와 달리, 온라인 주민등록번호 격인 CI는 모든 사이트에서 동일하다. CI 자체만으로 금융 거래가 가능한 것은 아니지만, 다른 개인정보와 결합하면 맞춤형 스미싱·보이스피싱이 가능하다.
예컨대 해커가 CI를 매개로 특정 이용자가 티빙과 롯데카드에 동시 가입한 사실을 파악한 뒤, '티빙에서 롯데카드 결제시 할인 혜택 제공'이라는 미끼 문자를 보내 범죄 성공률을 높일 수 있다.
최운호 서강대 기술경영전문대학원 교수는 "해커가 CI를 이용해 과거 유출된 여러 데이터베이스를 하나의 인물 프로필로 통합할 수 있다"며 "이름, 연락처, 가입 서비스, 금융기관 이용 여부 등의 정보를 결합하면 실제 서비스명을 포함한 정교한 표적형 피싱 공격이 가능해질 수 있다. AI 기술 발전으로 이러한 공격은 더욱 고도화될 것"이라고 말했다.
다만 이에 대해 방미통위 관계자는 "완전히 불가능한 시나리오는 아니지만, 현실화 가능성은 높지 않다"고 설명했다.
CI 제도 개선 필요성도 제기된다. 주민등록번호는 개인정보보호법상 '고유식별정보'로 분류돼 엄격하게 관리되지만, 온라인에서 동일한 효력을 가진 CI는 여기에 포함되지 않아서다. 별도의 유효기간이 없는데, 한 번 유출되면 변경하기 어려운 점도 문제다. 이에 방미통위는 관련 고시를 개정해 CI 암호화를 의무화했지만, 이마저도 내년 5월에나 시행된다.
독자들의 PICK!
방미통위 관계자는 "현재 연구반을 운영하며 CI 제도 개선 방안을 검토하고 있다"며 "CI 암호화 의무화는 내년부터 시행되지만, 사업자들이 선제적으로 적용할 수 있도록 권고하고 있다"고 말했다.
