단독 CJ 전 임직원 개인정보 털렸다…티빙 사태, CJ 원 이용자로 확대

국내 OTT(동영상스트리밍서비스) 티빙의 개인정보 유출 사태가 CJ(173,000원 ▲2,800 +1.65%)그룹 통합 멤버십 서비스인 'CJ ONE(원)'과 계열사로까지 번질지 주목된다. 특히 CJ 전직원 개인정보와 재직정보까지 노출됐을 가능성이 커 사태가 어디까지 확산될지 관심이 쏠린다.

11일 티빙은 전날부터 홈페이지에 CJ 원 계정잠금 작업 및 해제방법을 고지했다. CJ 원 통합회원 계정으로 티빙에 가입된 계정을 잠그겠다는 내용이다. 지난 2일 티빙의 개인정보 유출 사고로 인해 CJ 원 계정까지 털릴 위험에 처하자 CJ 원 측에서 연결을 끊고 나선 것이다.

문제는 이미 개인정보가 유출된 티빙 가입자 중 상당수가 티빙 계정이 아닌 CJ 원 통합 계정을 통해 가입했다는 점이다. 이 경우 유출된 정보 범위에 따라 티빙 서비스뿐 아니라 CJ 원 계정과 연결된 다른 서비스 이용에도 영향을 줄 수 있어 우려가 커진다.

특히 CJ 그룹 임직원들은 CJ 계열사 복지 중 하나로 티빙을 무료 이용하고 있고, 대부분 CJ 원 계정을 연동해 티빙에 가입한 것으로 파악됐다. 이에 CJ그룹 내부에서도 임직원에게 관련 안내 메일을 보내 직원들의 재직 정보 역시 사후 피해 유출 범위에 포함될 수 있다고 고지하며, 계정 보안 강화와 비밀번호 변경 등을 권고한 것으로 전해졌다. 노출이 우려되는 임직원 개인정보는 이름, 이메일, 소속 정보, 재직 여부 등으로, 구체적인 개인정보여서 다크웹에서 더 고급 정보로 통한다.

이로 인해 앞서 티빙에서 유출되지 않았다고 밝혔던 △주민등록번호 △결제 관련 정보 등까지 해킹됐을 가능성이 높다. CJ 원은 CJ그룹의 통합 멤버십 플랫폼으로, CJ 모든 계열사에 쌓아둔 멤버십 포인트나 상품권, 현금 등을 모아두는 곳이다. CJ 원 계정 이용자는 해당 계정 하나로 티빙을 비롯해 CJ 올리브영 등 모든 CJ 계열 서비스의 포인트 적립과 멤버십 혜택을 이용할 수 있어 이용자들은 자신의 정보가 어느 범위까지 활용되고 있는지 촉각을 곤두세우고 있다.

일부 이용자는 CJ와 티빙에서 쓰는 동일한 계정을 타 여러 서비스에서 사용하고 있어 개인정보 유출 사고가 계정 도용이나 추가 피해로 이어질 가능성도 우려된다. 유출 정보가 어떤 수준인지에 따라 포인트 탈취, 계정 무단 접속 시도 등 2차 피해 가능성도 배제할 수 없다.

티빙은 앞서 유출된 개인정보 항목이 △아이디 △이름 △생년월일 △성별 △CI(연계정보) △DI(중복가입확인정보) △휴대전화 번호(마지막 4자리 암호화) △이메일(도메인 제외 ID 부분 암호화) △환불 계좌번호(암호화) △비밀번호(암호화) 등 서비스 이용과 관련한 정보라면서 주민등록번호, 결제 관련 정보는 노출되지 않았다고 선을 그었다.

업계에서는 티빙과 CJ 원을 함께 이용하는 가입자나 임직원이 비밀번호 변경과 본인 계정 점검에 나서야 한다고 조언했다. 특히 동일하거나 유사한 비밀번호를 다른 서비스에서도 사용 중이라면 함께 변경하는 것이 바람직하다는 조언이다.

다만 현재까지 확인된 것은 티빙 서비스에서 발생한 개인정보 유출 사고이며, CJ 원 시스템 자체의 정보 유출이나 포인트 탈취 사례가 확인된 것은 아니다.

이와 관련 티빙 관계자는 "이번 안내 메일은 CJ 원 전체 회원이 아닌, 티빙 서비스를 이용 중인 회원을 대상으로 발송한 계정 보호조치(잠금처리) 시행 내용"이라고 밝혔다. 이어 "통합 ID 이용자의 티빙 내 비밀번호는 복호화가 불가능한 단방향 암호화 구조로 저장돼 있어, 이를 통한 그룹 내 타 서비스 이용은 기술적으로 가능하지 않다"면서도 "다만 만일의 추가 피해를 예방하고자 선제적인 권장 조치를 시행했다. 이용자 보호에 최선을 다하겠다"고 했다.

한편 티빙은 이날부터 이용자가 개인정보 유출 여부를 직접 확인할 수 있도록 조회 서비스를 시작했다. 해당 내용은 인터넷이나 모바일 홈페이지에 접속하면 팝업으로 공지돼 있다. 개인정보 조회하러 가기 버튼을 눌러 로그인을 하면 어떤 정보가 유출됐는지 확인 가능하다.