최신기사
-
-
-
-
-
티빙 유출, 제휴 고객까지 번졌다…KT·네이버·카카오 이용자 정보도 유출됐나
티빙 개인정보 유출 사고의 피해가 직접 가입자를 넘어 통신사 결합상품과 소셜미디어(SNS) 간편로그인 등 제휴 서비스를 통해 유입된 이용자에게까지 번졌다. 네이버와 카카오, KT 시스템이 추가로 해킹된 것은 아니지만 제휴 과정에서 티빙에 전달·저장된 정보가 함께 빠져나간 것으로 확인됐다. 특히 KT 개인정보 유출 사고의 보상으로 티빙 이용권을 받은 고객 가운데 41만6000여명이 다시 유출 대상에 포함되면서 제휴 기업의 고객 안내와 사전 보안 검증 책임을 둘러싼 논란도 커지고 있다. 지난 14일 이정헌 더불어민주당 의원실이 과학기술정보통신부와 개인정보보호위원회로부터 받은 자료에 따르면 KT가 고객 보상 프로그램으로 제공한 티빙 이용권을 선택한 고객은 58만6000여명이다. 이 가운데 이용권을 티빙에 등록해 실제 사용한 41만6000여명의 정보가 이번 사고의 유출 대상에 포함됐다. ◆ 티빙 DB가 뚫리자 제휴 고객 정보도 함께 유출 현재까지 확인된 사고 원인은 티빙 이용자 정보를 저장한 데이터베이스(DB)에 대한 비인가 접근이다. 개인정보위가 공개한 유출 가능 항목은 아이디와 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대전화번호, 이메일, 환불 계좌번호와 비밀번호 등이다. 일부 항목에는 암호화가 적용됐다. 구체적인 침투 경로와 안전조치 의무 위반 여부는 민관합동조사단이 조사 중이다. 피해가 제휴 이용자에게까지 확산된 이유는 서비스 가입 경로와 관계없이 이용에 필요한 정보가 최종적으로 티빙 DB에 저장됐기 때문이다. 네이버와 카카오 계정으로 간편 가입한 이용자는 티빙에 전달한 이름과 이메일, 휴대전화번호 등 본인확인 정보와 SNS 식별 아이디가 유출 대상에 포함됐다. 이는 네이버와 카카오의 로그인 시스템이나 계정 비밀번호가 뚫렸다는 의미는 아니다. 간편로그인 인증 권한은 각 플랫폼이 별도로 관리하고 티빙에는 이용자 식별과 서비스 제공에 필요한 정보가 저장된다. 따라서 이번 정보만으로 네이버·카카오 계정이 즉시 탈취되는 것은 아니지만, 다른 유출 정보와 결합한 피싱이나 크리덴셜 스터핑 공격에는 악용될 수 있다. 사고의 본질도 여기에 있다. 간편로그인은 이용자가 새로운 계정과 비밀번호를 만드는 부담을 줄여주지만, 서비스를 제공받는 사업자가 이름과 이메일, 식별값 등을 별도로 저장하면 개인정보 사본이 다시 생긴다. 인증을 네이버나 카카오가 담당해도 티빙에 저장된 정보의 보안까지 자동으로 보장되는 것은 아니다. ◆ KT “개인정보 전달 안 해”…법적 책임과 고객 책임은 별개 KT는 이번 사고가 자사 시스템과 무관하다는 입장이다. KT가 티빙에 제공한 것은 고객이 직접 등록하는 무작위 이용권 코드로, 고객 개인정보를 티빙에 전달하거나 처리를 위탁하지 않았다는 설명이다. KT는 “티빙의 개인정보 처리시스템을 운영하거나 접근할 권한이 없다”며 개인정보보호법상 직접적인 책임 주체는 티빙 운영사라고 밝혔다. 다만 고객 혜택으로 연결한 서비스인 만큼 앞으로 제휴사의 보안 관리와 검증을 강화하겠다는 방침이다. 법적 책임과 고객 보호 책임은 구분해서 볼 필요가 있다. KT가 고객정보를 넘기지 않았다면 티빙의 개인정보 관리에 대한 직접 책임을 묻기는 어렵다. 그러나 KT 보상 프로그램을 통해 가입한 고객 규모가 41만명을 넘는 만큼 해당 고객에게 유출 여부 확인 방법과 피해 예방 조치를 직접 안내해야 한다는 요구는 피하기 어렵다. 보안 사고 피해자에게 제공한 보상 서비스에서 다시 유출 사고가 발생했다는 점도 KT의 신뢰 회복 과정에 부담으로 작용할 전망이다. 네이버와 카카오 역시 현재까지 자사 인증 시스템이 침해됐다는 정황은 확인되지 않았다. 직접적인 법적 책임은 티빙이 어떤 정보를 어떤 근거로 저장했고, 네이버·카카오가 정보 제공자로서 필요한 보호조치를 이행했는지를 조사한 뒤 판단해야 한다. 다만 플랫폼 입장에서도 간편로그인 제휴 애플리케이션이 요구하는 개인정보 범위가 적정한지, 제휴 종료 후 식별정보가 삭제되는지, 보안 사고가 발생하면 이용자에게 어떻게 통지할지를 다시 점검할 필요가 생겼다. 현재 네이버와 카카오는 이번 사고와 관련한 별도의 구체적인 후속 대책을 공개하지 않은 상태다. ◆ ‘가입자 확대’ 제휴 전략, 보안 책임도 함께 커져 티빙은 직접 판매뿐 아니라 네이버와 통신사 결합상품 등 외부 채널을 통해 가입자를 확대해 왔다. CJ ENM 사업보고서에도 티빙이 네이버와 KT·LG유플러스 등 제휴 채널을 활용하는 판매 구조가 명시돼 있다. 제휴는 고객 확보 비용을 줄이고 가입자를 빠르게 늘릴 수 있지만 정보가 여러 사업자를 거치고 책임 주체가 나뉜다는 약점이 있다. 사고가 발생하면 서비스를 운영한 기업은 “제휴사가 모집한 고객”이라고 보고, 제휴사는 “개인정보를 직접 관리하지 않았다”고 선을 그을 수 있다. 결국 이용자가 어느 기업으로부터 안내와 보호를 받아야 하는지 불분명해진다. 향후 피해 범위가 더 커질 가능성도 있다. 티빙은 SK텔레콤과 LG유플러스 등 통신상품을 비롯한 여러 제휴 채널을 운영해 왔다. 다만 이들 제휴사 고객의 정보가 실제로 얼마나 포함됐는지는 아직 확인되지 않았다. 정부 조사 결과가 나오기 전까지 피해가 발생했다고 단정해서는 안 된다. ◆ 티빙은 전수 통지, 제휴사는 공동 대응체계 마련해야 티빙은 현재 별도 조회 페이지를 통해 이용자가 자신의 유출 여부와 항목을 확인하도록 하고 있다. 홈 화면에는 비밀번호 변경 안내도 게시했다. 다음 단계는 가입 경로별 피해 규모를 확정하고 직접 가입자와 간편로그인, 통신사 이용권, 결합상품 가입자를 구분해 개별 통지하는 것이다. 접속 세션과 인증 토큰을 초기화하고 불필요하게 보관한 휴면·탈퇴·종료 제휴 계정 정보가 있었는지도 확인해야 한다. 사고 원인이 접근키나 인증정보 관리 문제로 드러날 경우 개발 코드와 외부 저장소에 대한 비밀정보 탐지 체계도 전면 재정비해야 한다. KT와 네이버, 카카오 등 제휴사도 티빙의 안내에만 맡기기보다 자체 고객 채널을 통해 유출 조회 방법과 피싱 예방 수칙을 전달할 필요가 있다. 향후 제휴 계약에는 △보안 수준 사전 심사 △최소한의 정보만 수집 △제휴 종료 시 정보 파기 △사고 즉시 제휴사에 통보 △공동 이용자 안내와 피해 구제 절차를 명시하는 방안이 요구된다. 정부 조사 결과는 플랫폼 제휴 구조의 책임 범위를 가르는 기준이 될 전망이다. 티빙의 기술적·관리적 보호조치 위반 여부뿐 아니라 제휴 가입자 정보가 필요 이상으로 수집·보관됐는지, 제휴가 끝난 뒤에도 남아 있었는지까지 확인해야 한다. 이정헌 의원은 “개인정보 유출의 직접적인 당사자가 아니더라도 제휴 서비스를 제공하거나 연계한 기업 역시 고객 보호와 안내 책임에서 자유로울 수 없다”며 “정부가 제휴 기업의 책임을 포함한 제도 개선 방안을 마련해야 한다”고 말했다.
2026-07-15 11:08:30
-
-
-
-
-
-
한컴, 유럽형 '소버린 에이전틱 OS' 3분기 공개…14조원 시장 공략한다
한컴(대표이사 변성준·김연수)이 기존 공공·금융 시스템을 교체하지 않고 인공지능(AI) 에이전트를 연결하는 방식으로 유럽 소버린 AI 시장 공략에 나선다. 올해 3분기 유럽형 ‘소버린 에이전틱 운영체제(OS)’ 베타 버전을 공개하고 검증을 거쳐 하반기 중 상용 버전을 선보일 계획이다. 한컴은 폴란드 국가공인 연구개발(R&D)센터 7불스(7Bulls), 현지 AI·IT 기업 알고마인(Algomine)과 유럽형 소버린 에이전틱 OS 개발을 위한 세부 협력 어젠다에 합의했다고 15일 밝혔다. 이번 합의는 앞서 체결한 업무협약(MOU)을 구체적인 개발 과제로 옮기는 단계다. 협력 분야는 △제품 현지화 △기존 시스템 연동 △거버넌스와 유럽연합(EU) 규제 대응 △공동 영업과 사업화 등 4개 축이다. 현재는 공동개발과 개념검증(PoC)을 준비하는 과정으로 구체적인 현지 고객이나 공급 계약 규모는 공개되지 않았다. 다만 3분기 베타 공개와 하반기 상용화 일정이 제시되면서 유럽 진출 계획이 제품 개발과 매출화 단계로 넘어가는 분기점을 맞았다는 평가가 나온다. ◆ 기존 시스템 유지한 채 AI 에이전트 연결 한컴이 말하는 에이전틱 OS는 윈도나 리눅스처럼 컴퓨터를 구동하는 전통적인 운영체제와는 다르다. 조직이 보유한 데이터와 업무 시스템, 권한 체계, 여러 AI 모델과 에이전트를 하나의 환경에서 연결하고 통제하는 통합 운영 플랫폼에 가깝다. 핵심은 유럽 공공기관이 장기간 사용해 온 기간계 시스템을 걷어내지 않는다는 점이다. 기존 시스템에 연결 모듈인 커넥터를 붙여 AI 에이전트가 필요한 데이터를 읽고 업무를 수행하도록 설계한다. 전면 교체에 따른 비용과 서비스 중단 위험을 줄이면서 단계적으로 AI를 도입하려는 공공·금융기관을 겨냥한 방식이다. 현지화는 언어에서 시작한다. 한컴은 폴란드어 특화 거대언어모델(LLM) ‘비엘리크(Bielik)’를 에이전틱 OS에 연동하는 방안을 검토하고 있다. 폴란드어 에이전트의 성능을 측정할 평가체계도 공동으로 구축한다. 날짜와 통화, 문자 표기 등 현지 업무환경에 필요한 요소도 제품에 반영할 예정이다. 배포 방식은 폐쇄망과 온프레미스를 중심으로 설계한다. 민감한 문서와 업무 데이터의 외부 이동을 최소화하고 고객이 직접 AI 모델과 데이터 접근권한을 관리하도록 하기 위해서다. 7불스는 현지화와 기술개발을, 알고마인은 고객 채널을 활용한 공공·금융 분야 PoC와 사업 발굴을 맡는다. 한컴은 3분기 공개할 베타 버전을 통해 폴란드어 처리 성능과 현지 기간계 시스템 연동, AI 에이전트의 권한 통제 등을 우선 검증할 것으로 보인다. 이후 하반기 상용 버전을 출시하고 PoC를 실제 공급 계약으로 전환한다는 구상이다. ◆ EU 규제는 부담이자 시장 진입 기회 한컴이 유럽을 첫 해외 거점으로 선택한 배경에는 EU의 규제 시계가 있다. EU AI법에 따른 투명성 의무는 오는 8월 2일부터 적용된다. 이용자가 AI와 상호작용하고 있다는 사실을 알리고 일정한 AI 생성·조작 콘텐츠에는 식별 가능한 표시를 적용해야 한다. 생체인식과 핵심 인프라, 교육, 고용 등에 사용되는 일부 고위험 AI 규정은 2027년 12월 2일부터 적용된다. 로봇과 산업기계 등 규제 대상 제품에 내장되는 시스템에는 2028년 8월 2일부터 관련 규정이 적용될 예정이다. 유럽 공공기관과 기업이 AI 도입과 함께 로그 기록, 접근 통제, 모델 검증과 사람의 감독 체계를 준비해야 하는 이유다. 한컴의 전략은 오픈AI나 구글처럼 기반모델을 직접 개발해 경쟁하는 데 있지 않다. 고객이 필요에 따라 현지 모델이나 외부 LLM을 선택하되 한컴은 문서를 AI가 읽을 수 있는 데이터로 바꾸고 기존 업무 시스템과 연결하며 실행 과정과 권한을 관리하는 역할을 맡는다. 자체 모델 경쟁에 막대한 자금을 투입하기보다 모델에 종속되지 않는 구조를 앞세워 공공·금융 분야의 규제와 레거시 연동 수요를 공략하는 셈이다. 글로벌 빅테크와 정면으로 맞붙기보다 여러 모델과 업무 시스템 사이의 운영 계층을 선점하려는 전략으로 풀이된다. 한컴은 글로벌 에이전틱 AI 시장 전망을 토대로 2030년 소버린 에이전틱 OS의 유효시장(SAM)을 70억∼100억달러, 약 10조∼14조원으로 자체 추산하고 있다. 전체 소버린 AI 시장이 아니라 한컴이 겨냥하는 소프트웨어·플랫폼 영역의 추정치다. 관건은 하반기 상용화 이후 실제 고객을 확보할 수 있느냐다. 국내에서 축적한 공공 문서 처리와 폐쇄망 구축 경험을 폴란드어와 EU 규제 환경에서도 재현해야 한다. 3분기 베타에서 커넥터의 호환성과 언어 정확도, 규제 대응 기능을 입증하고 이를 공급 계약으로 연결해야 유럽 진출이 첫 매출로 이어질 수 있다. 김연수 한컴 대표는 “유럽의 공공 시스템은 수십 년간 축적된 자산”이라며 “그것을 대체하는 것이 아니라 지능화하는 것이 우리의 접근”이라고 말했다. 이어 “AI 주권은 인프라를 갖추는 것으로 완성되지 않는다”며 “그 위에서 데이터가 실제로 일하게 만드는 계층이 필요하고 그 자리를 한컴이 채우려 한다”고 강조했다.
2026-07-15 10:39:00
-