[로이슈 심준보 기자] 500만명이 이용하는 티빙에서 약 1953만명의 개인정보가 유출됐다. 현재 이용자 수를 훌쩍 뛰어넘는 규모다. 개인정보보호위원회가 탈퇴 및 휴면 회원과 제휴 계정 정보까지 유출 범위에 포함됐는지 들여다보는 이유다. 티빙이 같은 기간 정보보호 투자액을 2년 연속 줄였다는 사실도 알려지며 최주희 대표에게 화살이 향하고 있다.
18일 이정헌 더불어민주당 의원이 과학기술정보통신부와 개인정보보호위원회로부터 제출받은 자료에 따르면, 현재까지 파악한 티빙 개인정보 유출 사건의 피해 규모는 1953만 명으로 집계됐다.
최주희 대표는 지난 3일 사과문에서 "책임은 전적으로 티빙에 있다"고 밝혔다. 그러나 이용자보다 훨씬 많은 개인정보가 왜 남아 있었는지, 정보보호 투자는 왜 줄어들었는지에 대한 설명은 없었다.
이번 사건의 핵심은 유출 규모보다 그 출처다. 티빙 유료 가입자는 약 500만명, 월간 활성 이용자(MAU)는 약 770만명 수준이다. 그런데 유출 규모는 1953만명에 달한다. 현재 이용자 수만으로는 설명하기 어려운 숫자다. 개인정보보호위원회가 탈퇴 및 휴면 회원과 통신사 및 타사 제휴 회원 정보가 포함됐는지 확인에 나선 것도 이 때문이다.
개인정보보호법은 보유 목적이 끝난 정보를 늦어도 5일 안에 파기하도록 한다. 파기 대상 개인정보가 남아있었다면 이번 사고는 외부 침입이 아니라 내부 관리의 문제가 된다. 개인정보보호위가 탈퇴·휴면 계정의 유출을 확인할 경우 과징금 산정 시 위반의 중대성을 가중하는 근거가 될 수 있다.
티빙의 정보보호 투자도 도마에 올랐다. 티빙의 정보보호 투자액은 2022년 21억9667만원에서 2023년 18억3940만원, 2024년 17억6510만원으로 2년 새 약 20% 줄었다. 감소는 최주희 대표 취임(2023년 7월) 이전 시작됐지만 취임 이후에도 반전되지 않았다. 가입자 확대와 콘텐츠 투자 경쟁이 이어지는 동안 정보보호 투자만 2년 연속 줄었다. 보안을 총괄하는 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)는 모두 임원이 아닌 인사가 겸직해온 것으로 파악됐다.
신고 과정의 의문도 제기됐다. 과학기술정보통신부와 개인정보보호위에 낸 신고서의 최초 인지 시각이 서로 다르게 적혔다. 티빙은 비인가 접근을 인지하고도 데이터가 실제로 빠져나간 사실을 확인하기까지 사흘이 걸렸다고 신고했다. 같은 사고를 두 부처에 다른 시각으로 적은 경위를 정부가 들여다보고 있다.
국회 과학기술정보방송통신위원회 이정헌 더불어민주당 의원은 두 기관에서 받은 자료를 공개하며 이번 사고를 "기업의 안일함이 부른 명백한 인재"라고 지적했다. 단순 해킹이 아니라 경영의 문제라는 지적이다.
이같은 질문에 티빙 관계자는 "전체 가입자에는 유료 구독 회원뿐 아니라 무료 회원, 휴면 및 중복 계정 등 다양한 형태의 계정이 있어 특정 숫자로 전체 회원 규모를 단정하기는 어렵다"라며 "현재 정확한 유출 규모 등에 대해 조사 중으로, 성실히 협조 중"이라고 전했다.
이어 "보안인력은 2021년 4.9명에서 2024년 7.5명으로 매년 꾸준히 늘렸다"라며 "2023년과 2024년 투자액 일부 조정은 일부 서비스 종료와 합병이 의한 사업 구조 개선의 영향이며 역량 확대에 힘쓰고 있다"고 설명했다.
다만 인지시점의 경우 조사중이라 파악이 어렵다고만 전했다.
심준보 로이슈(lawissue) 기자 xzvc@lawissue.co.kr
18일 이정헌 더불어민주당 의원이 과학기술정보통신부와 개인정보보호위원회로부터 제출받은 자료에 따르면, 현재까지 파악한 티빙 개인정보 유출 사건의 피해 규모는 1953만 명으로 집계됐다.
최주희 대표는 지난 3일 사과문에서 "책임은 전적으로 티빙에 있다"고 밝혔다. 그러나 이용자보다 훨씬 많은 개인정보가 왜 남아 있었는지, 정보보호 투자는 왜 줄어들었는지에 대한 설명은 없었다.
이번 사건의 핵심은 유출 규모보다 그 출처다. 티빙 유료 가입자는 약 500만명, 월간 활성 이용자(MAU)는 약 770만명 수준이다. 그런데 유출 규모는 1953만명에 달한다. 현재 이용자 수만으로는 설명하기 어려운 숫자다. 개인정보보호위원회가 탈퇴 및 휴면 회원과 통신사 및 타사 제휴 회원 정보가 포함됐는지 확인에 나선 것도 이 때문이다.
개인정보보호법은 보유 목적이 끝난 정보를 늦어도 5일 안에 파기하도록 한다. 파기 대상 개인정보가 남아있었다면 이번 사고는 외부 침입이 아니라 내부 관리의 문제가 된다. 개인정보보호위가 탈퇴·휴면 계정의 유출을 확인할 경우 과징금 산정 시 위반의 중대성을 가중하는 근거가 될 수 있다.
티빙의 정보보호 투자도 도마에 올랐다. 티빙의 정보보호 투자액은 2022년 21억9667만원에서 2023년 18억3940만원, 2024년 17억6510만원으로 2년 새 약 20% 줄었다. 감소는 최주희 대표 취임(2023년 7월) 이전 시작됐지만 취임 이후에도 반전되지 않았다. 가입자 확대와 콘텐츠 투자 경쟁이 이어지는 동안 정보보호 투자만 2년 연속 줄었다. 보안을 총괄하는 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)는 모두 임원이 아닌 인사가 겸직해온 것으로 파악됐다.
신고 과정의 의문도 제기됐다. 과학기술정보통신부와 개인정보보호위에 낸 신고서의 최초 인지 시각이 서로 다르게 적혔다. 티빙은 비인가 접근을 인지하고도 데이터가 실제로 빠져나간 사실을 확인하기까지 사흘이 걸렸다고 신고했다. 같은 사고를 두 부처에 다른 시각으로 적은 경위를 정부가 들여다보고 있다.
국회 과학기술정보방송통신위원회 이정헌 더불어민주당 의원은 두 기관에서 받은 자료를 공개하며 이번 사고를 "기업의 안일함이 부른 명백한 인재"라고 지적했다. 단순 해킹이 아니라 경영의 문제라는 지적이다.
이같은 질문에 티빙 관계자는 "전체 가입자에는 유료 구독 회원뿐 아니라 무료 회원, 휴면 및 중복 계정 등 다양한 형태의 계정이 있어 특정 숫자로 전체 회원 규모를 단정하기는 어렵다"라며 "현재 정확한 유출 규모 등에 대해 조사 중으로, 성실히 협조 중"이라고 전했다.
이어 "보안인력은 2021년 4.9명에서 2024년 7.5명으로 매년 꾸준히 늘렸다"라며 "2023년과 2024년 투자액 일부 조정은 일부 서비스 종료와 합병이 의한 사업 구조 개선의 영향이며 역량 확대에 힘쓰고 있다"고 설명했다.
다만 인지시점의 경우 조사중이라 파악이 어렵다고만 전했다.
심준보 로이슈(lawissue) 기자 xzvc@lawissue.co.kr
<저작권자 © 로이슈, 무단 전재 및 재배포 금지>
메일: law@lawissue.co.kr 전화번호: 02-6925-0217
;){kind=link}