티빙·CJ 이어 CU까지…연쇄 해킹에 ‘보안 잔혹사’ 재현

티빙 이어 CU편의점택배까지 개인정보 유출
CI·주소·이용기록 노출에 표적 피싱 우려 확산

▲그래픽=손미경 기자 sssmk@

국내 온라인동영상성비스(OTT) 플랫폼과 대형 유통 네트워크가 해킹 공격에 연이어 속수무책으로 당했다. 지난해 국내 보안 역사상 최악으로 기록된 연쇄 해킹 사태의 악몽이 채 가시기도 전에 올해 역시 이용자 개인정보가 대규모로 유출되는 ‘보안 잔혹사’가 되풀이되는 양상이다.

7일 관련 부처와 유통·정보기술(IT) 업계에 따르면 최근 CJ ENM의 OTT 자회사 티빙에서 신원 미상의 해커가 개인정보 저장 데이터베이스(DB)에 무단 접근해 파일 유출 정황이 확인됐다. 얼마 지나지 않아 BGF그룹 계열의 물류 플랫폼인 CU편의점 택배(BGF네트웍스)에서도 유사한 형태의 해킹 사고가 발생했다.

티빙의 경우 외부 비인가 접근 세력에 의해 가입자의 아이디와 이름, 생년월일, 성별은 물론 서비스 간 동일인 여부를 식별하는 고유 암호화 값인 연계정보(CI)와 중복가입확인정보(DI), 서비스 이용 기록 등이 무더기로 유출됐다. 티빙 측은 인지 즉시 공격 인터넷주소(IP)를 차단하고 클라우드 접근 통제를 변경하는 등 긴급 보안 조치를 단행하고 최주희 대표이사가 직접 고개를 숙였으나 거대 플랫폼의 방어망이 허망하게 뚫렸다는 비판을 피하지 못했다.

이른바 ‘유통업계의 대동맥’ 역할을 하는 CU편의점 택배 시스템까지 해커들의 표적이 됐다. CU편의점 택배를 운영하는 BGF네트웍스 측 역시 외부로부터의 비인가 접근을 확인하고 긴급 대응에 나섰으나 이미 수많은 이용자의 이름과 아이디, 휴대폰 번호,주소, CI, 이메일 등 핵심 개인정보가 유출된 것으로 파악됐다. 콘텐츠를 소비하는 온라인 공간부터 일상생활 물류를 책임지는 오프라인 접점 플랫폼까지 도미노처럼 해킹의 사정권에 들어간 셈이다.

보안 전문가들과 자본시장이 이번 연쇄 유출 사태를 심각하게 보는 이유는 유출된 정보의 민감성과 이로 인한 2차 피해의 파급력 때문이다. 두 기업 모두 비밀번호나 금융 결제 관련 유효 정보 등은 암호화 조치가 돼 있거나 시스템 구조상 원천 보유하고 있지 않아 직접적인 자산 탈취 위험은 낮다고 항변한다.

그러나 이미 유출된 아이디와 이름, 생년월일, 휴대폰 번호의 조합만으로도 다크웹 등지에서 범죄 자본과 결합할 경우 치명적인 악성 행위로 이어질 수 있다. 특히 두 기업 모두 유출된 CI의 경우 범죄 조직이 다른 개인정보와 결합해 특정 개인을 완벽히 식별해 내는 표적형 피싱이나 명의 도용을 통한 비대면 우회 대출 등 고도화된 금융 범죄의 마스터키로 악용될 우려가 크다.

여기에 택배 플랫폼의 특성상 주소지 정보나 이동 동선, OTT 시청 패턴 같은 사생활 취향 데이터까지 해커들의 손에 넘어갔을 가능성이 제기됐다. 이용자들 사이에서는 “내가 가입한 모든 사이트의 비밀번호를 다 바꿔야 하는 것 아니냐”, “모르는 번호로 오는 연락은 무조건 의심해야 한다”는 공포감이 높다.

지난해에 이어 재현되는 해킹 잔혹사에 개인정보보호 체계를 강화해야 한다는 필요성이 대두된다. 한 업계 관계자는 “지난해부터 연달아 터지는 개인정보 유출 사태로 인해 개인정보 보호는 이제 단순한 기술 리스크가 아닌 기업의 존폐를 가르는 경영 리스크로 커졌다”며 “정부의 사후 약방문식 조사에 그칠 것이 아니라 유출 기업에 엄격한 책임을 묻고 제도의 실효성을 높여야 할 때”라고 말했다.