[인사이트] OTT 한 곳만의 문제가 아니다, 한국 사회가 ‘늘 털리는’ 구조다

국내 온라인동영상서비스(OTT) 티빙에서 해킹으로 인한 개인정보 유출 사고가 발생하면서, 대형 플랫폼의 보안 관리 실태와 이용자 보호 대책을 둘러싼 논란이 다시 불붙고 있다. 이름·생년월일·연락처는 물론 온라인 식별자인 CI·DI까지 포함된 것으로 알려지면서 단순한 계정 유출을 넘어선 중대한 사고라는 지적이 나온다.

티빙은 3일 공지문과 문자, 이메일 등을 통해 “6월 2일 이용자 개인정보를 저장하는 데이터베이스(DB)에 신원 미상의 해커가 비인가 접근한 사실을 확인했다”며 “일부 파일 유출 정황이 포착돼 피해 조사에 착수했다”고 밝혔다.


회사가 이용자에게 발송한 통지에 따르면 유출 대상에 포함된 것으로 알려진 항목은 아이디, 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대전화번호(마지막 4자리 암호화), 이메일(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화)와 서비스 이용 관련 정보 등이다. 정확한 유출 인원과 개인별 유출 범위는 아직 조사 중으로, 티빙은 “고객별 상세 유출 항목은 별도 안내하겠다”고 공지했다.

티빙은 사고를 인지한 직후 문제 IP를 차단하고 클라우드 접근 통제 변경, DB 접속 모니터링 강화 등 추가 유출 방지 조치를 취했다는 입장이다. 관련 법령에 따라 한국인터넷진흥원과 개인정보보호위원회에 사고 사실을 신고했고, 전담 고객센터를 열어 피해 접수와 상담을 진행하고 있다. 이용자에게는 동일한 아이디·비밀번호를 사용하는 티빙 및 다른 온라인 서비스의 비밀번호를 즉시 변경하고, 출처가 불분명한 전화·문자·이메일을 통한 스미싱·피싱 시도에 각별히 주의해 달라고 안내했다.

전문가들은 티빙 한 회사의 문제에 그치지 않는다고 지적한다. OTT·커머스·배달앱 등 플랫폼 서비스는 로그인, 결제, 개인 맞춤 추천을 위해 가능한 한 많은 개인정보와 이용 기록을 중앙 서버에 모으는 구조를 취해 왔다. 이 과정에서 하나의 데이터베이스가 뚫리면 수백만 명 단위로 이름, 연락처, 이용 정보가 한꺼번에 노출될 수 있는 환경이 만들어졌다는 것이다. 여기에 클라우드, 외부 솔루션, 내부 시스템이 수많은 인터페이스로 얽히면서 권한·접근 관리의 복잡도가 급격히 높아진 것도 반복되는 사고의 배경으로 꼽힌다.

법·제도는 강화돼 왔다. 개정 개인정보보호법은 기업이 대규모 유출 사고를 일으킬 경우 전체 매출의 최대 일정 비율까지 과징금을 부과하고, 실제 손해액을 입증하지 않아도 일정 한도 내 법정손해배상을 청구할 수 있도록 했다. 고의나 중대한 과실이 인정되면 손해액의 여러 배에 달하는 징벌적 손해배상도 가능하다. 그럼에도 포털, 카드사, 통신사, 각종 플랫폼에서 대형 유출 사고가 끊이지 않는 현실은 “규제 수준 강화만으로는 억제력이 충분하지 않다”는 데 무게를 싣는다.

이용자 입장에서는 익숙한 대처 시나리오가 반복되고 있다. 회사는 해킹 사실을 통지하며 비밀번호 변경과 피싱 주의를 요청하고, 피해 접수 창구와 향후 보상안 마련 계획을 알린다. 이용자는 불안과 함께 여러 서비스의 비밀번호를 갈아엎고, 의심스러운 연락을 경계하며, 향후 나올 보상 수준과 법적 구제 수단을 지켜봐야 한다. 전문가들은 “완전한 예방이 불가능하다면 유출을 전제한 피해 최소화 설계가 필요하다”며 “불필요한 정보 수집·보관 기간을 줄이고, 신원 식별 정보와 이용 기록을 분리·암호화해 유출 시 악용 가능성을 낮추는 기술적·제도적 장치가 더 촘촘해져야 한다”고 말한다.

일각에서는 사고 이후 이용자 보호체계의 실질성을 높여야 한다는 지적도 나온다. 단순 사과문과 일괄 제공 쿠폰을 넘어, 신용정보 모니터링 서비스 제공, 명의 도용 방지 조치 지원, 분쟁조정·소송 비용 분담 등 유출 이후 이용자가 감당해야 할 위험과 비용을 기업이 어느 정도 함께 부담하는 구조가 필요하다는 것이다. 반복되는 대형 유출 사고 속에서, “이번에는 어디가 털렸나”를 넘어 “다음 사고 때는 어떤 구조적 변화가 있을 것인가”가 더 중요한 질문이 되고 있다.