검색결과 총 27건
-
티빙 유출, 제휴 고객까지 번졌다…KT·네이버·카카오 이용자 정보도 유출됐나
[경제일보] 티빙 개인정보 유출 사고의 피해가 직접 가입자를 넘어 통신사 결합상품과 소셜미디어(SNS) 간편로그인 등 제휴 서비스를 통해 유입된 이용자에게까지 번졌다. 네이버와 카카오, KT 시스템이 추가로 해킹된 것은 아니지만 제휴 과정에서 티빙에 전달·저장된 정보가 함께 빠져나간 것으로 확인됐다. 특히 KT 개인정보 유출 사고의 보상으로 티빙 이용권을 받은 고객 가운데 41만6000여명이 다시 유출 대상에 포함되면서 제휴 기업의 고객 안내와 사전 보안 검증 책임을 둘러싼 논란도 커지고 있다. 지난 14일 이정헌 더불어민주당 의원실이 과학기술정보통신부와 개인정보보호위원회로부터 받은 자료에 따르면 KT가 고객 보상 프로그램으로 제공한 티빙 이용권을 선택한 고객은 58만6000여명이다. 이 가운데 이용권을 티빙에 등록해 실제 사용한 41만6000여명의 정보가 이번 사고의 유출 대상에 포함됐다. ◆ 티빙 DB가 뚫리자 제휴 고객 정보도 함께 유출 현재까지 확인된 사고 원인은 티빙 이용자 정보를 저장한 데이터베이스(DB)에 대한 비인가 접근이다. 개인정보위가 공개한 유출 가능 항목은 아이디와 이름, 생년월일, 성별, 연계정보(CI), 중복가입확인정보(DI), 휴대전화번호, 이메일, 환불 계좌번호와 비밀번호 등이다. 일부 항목에는 암호화가 적용됐다. 구체적인 침투 경로와 안전조치 의무 위반 여부는 민관합동조사단이 조사 중이다. 피해가 제휴 이용자에게까지 확산된 이유는 서비스 가입 경로와 관계없이 이용에 필요한 정보가 최종적으로 티빙 DB에 저장됐기 때문이다. 네이버와 카카오 계정으로 간편 가입한 이용자는 티빙에 전달한 이름과 이메일, 휴대전화번호 등 본인확인 정보와 SNS 식별 아이디가 유출 대상에 포함됐다. 이는 네이버와 카카오의 로그인 시스템이나 계정 비밀번호가 뚫렸다는 의미는 아니다. 간편로그인 인증 권한은 각 플랫폼이 별도로 관리하고 티빙에는 이용자 식별과 서비스 제공에 필요한 정보가 저장된다. 따라서 이번 정보만으로 네이버·카카오 계정이 즉시 탈취되는 것은 아니지만, 다른 유출 정보와 결합한 피싱이나 크리덴셜 스터핑 공격에는 악용될 수 있다. 사고의 본질도 여기에 있다. 간편로그인은 이용자가 새로운 계정과 비밀번호를 만드는 부담을 줄여주지만, 서비스를 제공받는 사업자가 이름과 이메일, 식별값 등을 별도로 저장하면 개인정보 사본이 다시 생긴다. 인증을 네이버나 카카오가 담당해도 티빙에 저장된 정보의 보안까지 자동으로 보장되는 것은 아니다. ◆ KT “개인정보 전달 안 해”…법적 책임과 고객 책임은 별개 KT는 이번 사고가 자사 시스템과 무관하다는 입장이다. KT가 티빙에 제공한 것은 고객이 직접 등록하는 무작위 이용권 코드로, 고객 개인정보를 티빙에 전달하거나 처리를 위탁하지 않았다는 설명이다. KT는 “티빙의 개인정보 처리시스템을 운영하거나 접근할 권한이 없다”며 개인정보보호법상 직접적인 책임 주체는 티빙 운영사라고 밝혔다. 다만 고객 혜택으로 연결한 서비스인 만큼 앞으로 제휴사의 보안 관리와 검증을 강화하겠다는 방침이다. 법적 책임과 고객 보호 책임은 구분해서 볼 필요가 있다. KT가 고객정보를 넘기지 않았다면 티빙의 개인정보 관리에 대한 직접 책임을 묻기는 어렵다. 그러나 KT 보상 프로그램을 통해 가입한 고객 규모가 41만명을 넘는 만큼 해당 고객에게 유출 여부 확인 방법과 피해 예방 조치를 직접 안내해야 한다는 요구는 피하기 어렵다. 보안 사고 피해자에게 제공한 보상 서비스에서 다시 유출 사고가 발생했다는 점도 KT의 신뢰 회복 과정에 부담으로 작용할 전망이다. 네이버와 카카오 역시 현재까지 자사 인증 시스템이 침해됐다는 정황은 확인되지 않았다. 직접적인 법적 책임은 티빙이 어떤 정보를 어떤 근거로 저장했고, 네이버·카카오가 정보 제공자로서 필요한 보호조치를 이행했는지를 조사한 뒤 판단해야 한다. 다만 플랫폼 입장에서도 간편로그인 제휴 애플리케이션이 요구하는 개인정보 범위가 적정한지, 제휴 종료 후 식별정보가 삭제되는지, 보안 사고가 발생하면 이용자에게 어떻게 통지할지를 다시 점검할 필요가 생겼다. 현재 네이버와 카카오는 이번 사고와 관련한 별도의 구체적인 후속 대책을 공개하지 않은 상태다. ◆ ‘가입자 확대’ 제휴 전략, 보안 책임도 함께 커져 티빙은 직접 판매뿐 아니라 네이버와 통신사 결합상품 등 외부 채널을 통해 가입자를 확대해 왔다. CJ ENM 사업보고서에도 티빙이 네이버와 KT·LG유플러스 등 제휴 채널을 활용하는 판매 구조가 명시돼 있다. 제휴는 고객 확보 비용을 줄이고 가입자를 빠르게 늘릴 수 있지만 정보가 여러 사업자를 거치고 책임 주체가 나뉜다는 약점이 있다. 사고가 발생하면 서비스를 운영한 기업은 “제휴사가 모집한 고객”이라고 보고, 제휴사는 “개인정보를 직접 관리하지 않았다”고 선을 그을 수 있다. 결국 이용자가 어느 기업으로부터 안내와 보호를 받아야 하는지 불분명해진다. 향후 피해 범위가 더 커질 가능성도 있다. 티빙은 SK텔레콤과 LG유플러스 등 통신상품을 비롯한 여러 제휴 채널을 운영해 왔다. 다만 이들 제휴사 고객의 정보가 실제로 얼마나 포함됐는지는 아직 확인되지 않았다. 정부 조사 결과가 나오기 전까지 피해가 발생했다고 단정해서는 안 된다. ◆ 티빙은 전수 통지, 제휴사는 공동 대응체계 마련해야 티빙은 현재 별도 조회 페이지를 통해 이용자가 자신의 유출 여부와 항목을 확인하도록 하고 있다. 홈 화면에는 비밀번호 변경 안내도 게시했다. 다음 단계는 가입 경로별 피해 규모를 확정하고 직접 가입자와 간편로그인, 통신사 이용권, 결합상품 가입자를 구분해 개별 통지하는 것이다. 접속 세션과 인증 토큰을 초기화하고 불필요하게 보관한 휴면·탈퇴·종료 제휴 계정 정보가 있었는지도 확인해야 한다. 사고 원인이 접근키나 인증정보 관리 문제로 드러날 경우 개발 코드와 외부 저장소에 대한 비밀정보 탐지 체계도 전면 재정비해야 한다. KT와 네이버, 카카오 등 제휴사도 티빙의 안내에만 맡기기보다 자체 고객 채널을 통해 유출 조회 방법과 피싱 예방 수칙을 전달할 필요가 있다. 향후 제휴 계약에는 △보안 수준 사전 심사 △최소한의 정보만 수집 △제휴 종료 시 정보 파기 △사고 즉시 제휴사에 통보 △공동 이용자 안내와 피해 구제 절차를 명시하는 방안이 요구된다. 정부 조사 결과는 플랫폼 제휴 구조의 책임 범위를 가르는 기준이 될 전망이다. 티빙의 기술적·관리적 보호조치 위반 여부뿐 아니라 제휴 가입자 정보가 필요 이상으로 수집·보관됐는지, 제휴가 끝난 뒤에도 남아 있었는지까지 확인해야 한다. 이정헌 의원은 “개인정보 유출의 직접적인 당사자가 아니더라도 제휴 서비스를 제공하거나 연계한 기업 역시 고객 보호와 안내 책임에서 자유로울 수 없다”며 “정부가 제휴 기업의 책임을 포함한 제도 개선 방안을 마련해야 한다”고 말했다.
2026-07-15 11:08:30
-
-
회원 130만명 털리고도 몰랐다…락앤락, 개인정보 유출로 과징금 5억
[경제일보] 락앤락이 약 130만 명의 회원 개인정보 유출 사고로 과징금 5억원대 제재를 받았다. 해커가 내부 시스템에 침입해 대용량 데이터를 빼냈지만 회사는 이를 탐지하지 못했고 해커의 협박 메일을 받고서야 유출 사실을 인지한 것으로 조사됐다. 개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보 보호법을 위반한 락앤락, 유베이스, 썬포토 등 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과했다고 9일 밝혔다. 처분 사실을 각 사 홈페이지에 공표하라는 명령도 함께 의결했다. 가장 큰 제재를 받은 곳은 락앤락이다. 개인정보위 조사 결과 해커는 2024년 4월 락앤락 메일 서버 보안 취약점을 악용해 내부 시스템에 침입했고 같은 해 5월 말 회원 데이터베이스를 유출했다. 같은 해 11월에는 내부 시스템에 다시 침입해 파일서버에 저장된 업무자료와 임직원 개인정보까지 추가로 빼낸 것으로 확인됐다. 이 과정에서 약 130만 명의 회원 개인정보와 임직원 개인정보 1111건이 외부로 유출됐다. 유출 항목에는 회원 이름, 휴대전화번호, 주소와 임직원의 주민등록증, 운전면허증, 통장 사본 등이 포함됐다. 개인정보위는 락앤락이 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못했다고 판단했다. 2022년 공개된 보안 취약점에 대한 패치를 적용하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용한 점도 문제로 지적됐다. 고유식별정보 암호화 미흡, 개인정보 미파기 등 안전조치 의무 위반도 확인됐다. 이에 개인정보위는 락앤락에 과징금 5억300만원과 과태료 540만원을 부과했다. 콜센터 아웃소싱 업체 유베이스도 제재 대상에 올랐다. 2024년 대표 홈페이지 관리자 계정이 해킹돼 문의 게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등이 유출됐다. 해커는 해당 정보를 텔레그램에 게시하기도 했다. 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 IP 주소 등으로 접근을 제한하지 않았고, 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있게 한 것으로 조사됐다. 개인정보위는 유베이스에 과징금 1억6800만원을 부과했다. 사진·영상장비 판매업체 썬포토는 관리자 계정 해킹으로 회원 약 17만 명의 개인정보와 주문정보 13건이 유출됐다. 유출 정보에는 이름, 아이디, 휴대전화번호, 성별 등이 포함됐다. 해커가 주문자 1명에게 썬포토 직원을 사칭해 보이스피싱을 시도한 사실도 확인됐다. 썬포토에는 과징금 3000만원이 부과됐다. 이번 제재는 개인정보 유출 사고의 초점이 단순 해킹 피해를 넘어 기업의 탐지·패치·접근통제 체계로 옮겨가고 있음을 보여준다. 관리자 페이지 접근 제한, 취약점 패치, 접속기록 관리, 고유식별정보 암호화 같은 기본 보안 조치가 미흡하면 사고 이후 책임도 커질 수밖에 없다.
2026-07-09 17:09:05
-
한컴위드, 얼굴 인증 금융권 공략 속도…'한컴 오스' 금결원 성능평가 통과
[경제일보] 한컴위드가 얼굴 인증 솔루션 ‘한컴 오스’로 금융권 생체 인증 시장 공략에 속도를 낸다. 금융결제원의 바이오정보 분산관리업무 성능평가를 통과하면서 금융기관이 요구하는 보안성과 신뢰성 기준을 충족했다는 점을 앞세우는 전략이다. 한컴그룹의 보안·인증·디지털금융 전문 계열사 한컴위드는 얼굴 인증 솔루션 한컴 오스가 금융결제원의 바이오정보 분산관리업무 성능평가를 통과했다고 19일 밝혔다. 금융결제원의 바이오정보 분산관리업무 성능평가는 생체 인증 정보를 한 곳에 저장하지 않고 분할·분산해 관리하는 시스템의 기술 성능과 보안성을 검증하는 절차다. 바이오정보 분할, 호환, 거래 적합성을 확인하는 분산관리 적합성 시험과 인증 정확도, 처리 속도, 시스템 안정성, 암호화 수준 등을 평가하는 바이오 인증 성능 시험으로 구성된다. 이번 평가 통과는 금융권 도입 가능성을 높이는 기준으로 작용할 수 있다. 얼굴, 지문 등 생체정보는 비밀번호처럼 쉽게 바꾸기 어려운 민감정보다. 금융기관이 대고객 서비스나 내부통제 시스템에 생체 인증을 적용할 때는 인증 정확도뿐 아니라 원본 정보 저장 방식, 분산관리 체계, 위변조 방어 능력이 함께 검증돼야 한다. 한컴위드에 따르면 한컴 오스는 분산관리 연동 규격에 맞춰 원본 생체정보를 안전하게 분할·결합 처리할 수 있다. 표준 데이터 포맷도 준수해 기존에 구축된 타사 얼굴 인식 시스템을 교체하거나 연동할 때 인증 오류를 줄이고 호환성을 확보할 수 있다는 설명이다. 한컴 오스는 비대면 본인확인에 필요한 얼굴 인증과 신원 인증 기능을 제공하는 솔루션이다. 셀카 촬영을 통한 본인 인증, 신분증 얼굴 사진과 실제 얼굴 비교, 얼굴 위변조 방지를 위한 패시브 라이브니스 기능 등을 갖췄다. 이용자가 별도 동작을 반복하지 않아도 얼굴 위변조 여부를 판별하는 방식이다. 회사는 그동안 얼굴 위·변조 탐지 분야에서도 외부 검증을 받아왔다. iBeta의 ISO/IEC 30107-3 PAD Level 2 시험 적합성을 확보했고 RIVTD Track 3 라이브니스·PAD 평가에서도 성능을 검증받았다고 설명했다. 인식 성능 분야에서는 한국인터넷진흥원(KISA) 산하 K-NBTC 얼굴 인식 알고리즘 성능 시험 인증도 획득했다. 생체 인증 분산관리 기술은 금융권을 넘어 비금융권으로도 적용 범위가 넓어지고 있다. 비대면 계좌 개설, 간편 결제, 전자계약, 출입통제, 모바일 신원확인 등에서 얼굴 인증 수요가 커지고 있기 때문이다. 특히 딥페이크와 신분증 도용, 영상 재생 공격이 정교해지면서 단순 얼굴 비교를 넘어 위변조 탐지와 분산 저장 체계를 함께 갖춘 인증 기술의 중요성이 커지고 있다. 한컴위드는 이번 성능평가 통과를 계기로 금융권과 비금융권을 아우르는 얼굴 인증 사업을 확대할 계획이다. 양자내성암호 기반 보안, AI 인증, 디지털금융 등 차세대 보안 영역과의 연계도 추진한다는 방침이다. 송상엽 한컴위드 대표는 “금융결제원이 제시하는 생체 인식 성능 기준을 통과했다는 것은 한컴 오스가 국내 금융권 시장 상황을 충실히 반영한 솔루션임을 객관적으로 증명한 결과”라며 “이번 성능평가 통과와 축적된 기술 역량을 바탕으로 얼굴 인증 시장에서 경쟁력을 한층 확대해 나가겠다”고 말했다.
2026-06-19 15:57:55
-
"해외 IP 로그인 감지" 문자 주의… 빗썸, 피싱 예방 가이드 공개
[경제일보] 빗썸이 정보보호의 날을 맞아 이용자를 노린 사칭 피싱 범죄 예방 활동에 나섰다. 가상자산 거래소를 사칭한 문자와 이메일, 가짜 홈페이지 등이 갈수록 정교해지는 가운데 투자자 보호와 보안 인식 제고를 강화하기 위한 조치로 풀이된다. 12일 빗썸은 사내 정보보호의 날을 맞아 이용자들이 피싱 범죄를 스스로 식별하고 대응할 수 있도록 주요 사칭 피싱 수법과 예방 수칙을 담은 가이드를 공개했다고 밝혔다. 최근 피싱 범죄는 실제 기업과 구분하기 어려울 정도로 고도화되고 있다. 거래소나 금융기관을 사칭해 '해외 IP 로그인 시도 감지' 등의 문구를 담은 문자 메시지를 발송하거나, 보안 점검을 가장한 이메일로 이용자를 유인하는 방식이 대표적이다. 또한 검색 엔진 광고나 검색 결과를 활용해 가짜 홈페이지를 노출한 뒤 이용자가 직접 계정 정보를 입력하도록 유도하는 사례도 늘고 있다. 특히 최근에는 발신자명과 디자인, 안내 문구까지 실제 서비스와 유사하게 제작돼 이용자가 진위를 판단하기 어려운 경우가 많은 것으로 알려졌다. 이에 단순한 스미싱을 넘어 계정 탈취와 개인 정보 유출, 금융 사기 등으로 이어질 가능성이 높아지고 있다. 빗썸은 피싱 공격에 노출될 경우 계정 ID와 비밀번호는 물론 SMS 인증 번호와 OTP 코드, 휴대 전화 번호, 이메일 주소, 이름, 생년월일 등 개인 정보가 유출될 수 있다고 설명했다. 또한 금융·결제 정보까지 탈취될 경우 추가 피해로 이어질 가능성도 존재한다. 특히 빗썸은 동일한 비밀번호를 여러 서비스에서 사용하는 이용자의 경우 거래소 계정 탈취를 시작으로 다른 온라인 서비스 계정까지 피해가 확산될 수 있어 각별한 주의가 필요하다고 강조했다. 계정이 탈취될 경우 자산 이동이 이뤄질 수 있으며 피해 발생 이후 복구 과정도 복잡해질 수 있기 때문에 가상자산 거래는 계정 보안이 무엇보다 중요하다. 이에 국내 가상자산 거래소들은 투자자 보호센터 운영과 이상거래 탐지 시스템 고도화, 보안 캠페인 등을 통해 이용자 보호 역량을 강화하고 있다. 빗썸은 이용자들에게 발신자 정보를 확인할 때 일부 주소만 보지 말고 전체 주소를 끝까지 확인해야 한다고 안내했다. 또한 '즉시 확인', '지금 당장 조치' 등 긴급성을 강조하는 안내 문구가 포함된 메시지는 한 번 더 의심하고, 공식 앱이나 홈페이지에서 동일한 공지가 있는지 직접 확인하는 것이 중요하다고 설명했다. 링크 클릭에도 주의가 필요하다. 링크를 누르기 전 공식 URL과 일치하는지 반드시 확인해야 하며, 가능하면 문자나 이메일 속 링크를 이용하기보다 직접 앱을 실행하거나 주소를 입력해 접속하는 것이 안전하다. 만약 의심스러운 링크를 클릭했거나 개인정보를 입력했다면 즉시 대응해야 한다. 우선 네트워크 연결을 차단하고 계정 비밀번호 변경과 2단계 인증 설정 등 보호 조치를 취해야 한다. 이어 백신 프로그램을 활용한 정밀 검사와 운영체제(OS), 주요 소프트웨어 업데이트도 필요하다. 피해가 의심될 경우에는 관련 기관 신고도 가능하다. 빗썸 계정에서 이상 거래가 확인되면 빗썸 투자자보호센터에 즉시 연락해야 하며, 해킹 및 악성코드 피해는 한국인터넷진흥원(KISA) 118 상담센터, 보이스피싱·스미싱 관련 상담은 경찰청 182 또는 112, 금융사기 신고는 금융감독원 1332를 통해 지원받을 수 있다. 빗썸 관계자는 "사칭 피싱은 진짜와 구분하기 어려울 만큼 정교해지고 있어, 발신자 주소와 공식 URL을 한 번 더 확인하는 작은 습관이 가장 확실한 예방책"이라며 "빗썸은 이용자의 자산과 개인정보를 지키기 위한 보안 안내와 보호 조치를 지속적으로 강화해 나가겠다"고 말했다.
2026-06-12 14:27:46
-
티빙 유출 파장 CJ ONE까지…1051명 집단소송, 계정 잠금도 확산
[경제일보] 티빙 개인정보 유출 사태가 CJ ONE 계정 보호조치와 집단 손해배상 소송으로 번지고 있다. 단순한 OTT 회원정보 유출을 넘어 CJ 계열 서비스와 연동된 통합 계정, 온라인 식별 정보인 CI·DI까지 문제가 되면서 소비자 불안이 커지는 모습이다. 12일 업계에 따르면 CJ올리브네트웍스가 운영하는 그룹 통합 멤버십 서비스 CJ ONE은 티빙 개인정보 유출 사고 이후 일부 회원을 대상으로 계정 보호조치를 진행하고 있다. 티빙 사고 이후 비밀번호를 바꾸지 않은 CJ ONE 통합회원 계정 등이 대상이다. 계정 잠금 해제를 위해서는 CJ ONE 홈페이지나 앱에서 본인인증을 거쳐 비밀번호를 재설정해야 한다. 티빙은 지난 2일 외부의 비인가 접근으로 개인정보가 저장된 데이터베이스에 접속이 이뤄졌고 개인정보 파일이 외부로 전송된 정황을 확인했다고 밝혔다. 회사는 사고 인지 이후 공격자 IP 접근을 차단하고 클라우드 접근 통제 정책을 변경하는 등 조치를 취했다고 설명했다. 유출 항목은 아이디, 이름, 생년월일, 성별, 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호 등으로 알려졌다. 여기에 CI와 DI도 포함된 것으로 전해지면서 사안의 무게가 커졌다. CI는 본인확인을 거친 이용자를 식별하기 위한 연계정보이고 DI는 서비스 내 중복가입 여부를 확인하는 식별값이다. 이용자가 쉽게 바꿀 수 없는 정보인 만큼 다른 유출 정보와 결합되면 개인 식별과 2차 피해 위험이 커질 수 있다. 티빙은 11일 홈페이지와 앱을 통해 이용자별 개인정보 유출 여부를 확인할 수 있는 조회 서비스를 개설했다. 회사는 “티빙을 믿고 이용해 주시는 회원님께 큰 걱정과 심려를 끼쳐 드린 점 진심으로 사과드린다”며 피해 여부 확인 서비스를 제공하고 있다고 밝혔다. 앞서 최주희 티빙 대표는 “이용자 여러분께서 믿고 맡겨주신 정보를 지켜드리지 못했으며 그 책임은 전적으로 티빙에 있다”고 사과했다. 정부 조사도 본격화됐다. 과학기술정보통신부와 한국인터넷진흥원은 이번 사고를 대규모 정보 유출 및 추가 피해 가능성이 있는 중대한 침해사고로 보고 민관합동조사단을 구성했다. 조사단은 사고 원인, 침입 경로, 유출 규모, 추가 피해 가능성 등을 들여다볼 전망이다. 개인정보보호위원회도 개인정보보호법상 안전성 확보 의무와 정보주체 통지 의무 위반 여부를 살필 가능성이 있다. 법적 대응도 시작됐다. 법무법인 지향은 티빙 개인정보 유출 피해 이용자 1051명을 대리해 서울중앙지법에 손해배상 청구 소송을 제기했다. 청구액은 1인당 30만원이다. 지향 측은 유출 정보의 종류와 2차 피해 위험을 고려할 때 정신적 피해가 크고 향후 조사 과정에서 추가 피해가 확인되면 청구액 확대도 검토할 수 있다는 입장이다. 법무법인 세담도 별도 집단소송을 추진하고 있다. 세담은 CI와 DI가 유출 항목에 포함된 점을 들어 스미싱, 피싱 등 2차 피해 위험이 크다고 보고 있다. 실제 티빙은 전화, 문자, 이메일 등을 통한 사칭 피싱 시도에 주의해 달라고 이용자들에게 안내한 바 있다. 이번 사태는 CJ 계열 서비스 전반의 계정 연동 구조에도 부담을 주고 있다. 티빙은 자체 계정뿐 아니라 CJ ONE, 네이버, 카카오 등 외부 계정으로 가입한 이용자도 많다. 편의성을 높였던 통합 로그인과 계정 연동이 사고 발생 이후에는 비밀번호 변경, 계정 잠금, 본인인증 등 복잡한 대응 절차로 이어지고 있다. 한편 업계에선 정확한 피해 규모와 보상안, 재발 방지 대책에 쏠린다. 일부 보도에서는 유출 대상이 대규모에 이를 가능성이 제기됐지만 현재 공개자료 기준으로 최종 피해 규모는 정부 조사 결과를 지켜봐야 한다. 티빙이 보상안과 추가 조치를 내놓겠다고 밝힌 만큼 실제 이용자 보호책의 수준도 향후 쟁점이 될 전망이다.
2026-06-12 11:21:53
-
티빙 개인정보 DB 뚫렸다…이름·생년월일 등 유출 정황 확인
[경제일보] 국내 온라인동영상서비스(OTT) 티빙이 해킹 공격으로 인한 개인정보 유출 사실을 이용자들에게 공식 통지하고 사과했다. 최근 몇 년간 기업들의 보안 경각심이 높아진 가운데 또다시 대형 플랫폼에서도 개인정보 유출 사고가 발생하면서 이용자 우려가 커지고 있다. 5일 IT 업계에 따르면 티빙은 최근 이용자들에게 개인정보 유출 사실 통지 및 사과문을 문자를 통해 공지했다. 티빙이 공개한 유출 가능 정보는 아이디와 이름, 생년월일, 성별, CI(연계정보), DI(중복가입확인정보), 휴대전화 번호 일부, 이메일 계정 정보 일부, 환불 계좌번호, 비밀번호 등이다. 다만 휴대전화 번호 마지막 4자리와 이메일 일부 정보, 환불 계좌번호 및 비밀번호는 암호화 상태로 저장된 것으로 알려졌다. 티빙은 공지를 통해 "당사는 2026년 6월 2일 개인정보 저장 DB에 신원 미상 해커의 접근 및 파일 유출 정황을 확인했다"며 "인지 즉시 공격 IP 차단 및 클라우드 접근 통제를 변경했고 DB 접속 모니터링 강화 및 추가 피해 확산 방지 보안 조치를 완료했으며 이용자 피해 구제를 위한 전담 고객센터 운영 및 지원 절차를 마련"이라고 밝혔다. 티빙은 사고 인지 직후 공격에 사용된 IP를 차단하고 클라우드 접근 통제 정책을 변경하는 등 긴급 대응에 나선 것으로 알려졌다. 또한 데이터베이스 접속 모니터링을 강화하고 추가 피해 확산 방지를 위한 보안 조치를 완료했다고 설명했다. 또한 이용자 피해 구제를 위한 전담 고객센터 운영과 지원 절차도 마련했다. 이용자들에게는 스미싱·피싱 등 2차 피해에 주의하고, 동일한 계정 정보를 사용하는 다른 서비스의 비밀번호를 변경할 것을 권고했다. 이번 사고는 국내 주요 온라인 플랫폼에서 또다시 개인정보 유출 사고가 발생했다는 점에서 주목된다. 특히 이름과 생년월일, 휴대전화 번호 등 개인정보가 포함된 만큼 향후 스미싱과 피싱 등 2차 범죄 악용 가능성도 제기된다. 이에 업계에서는 정확한 유출 규모와 공격 경로, 실제 외부 유출 여부 등에 대한 추가 조사가 필요하다는 지적이 나오고 있다. 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 관계 기관 역시 관련 사실을 확인하고 사고 경위를 들여다볼 것으로 전망된다. 티빙은 "티빙을 이용해 주시는 고객님께 깊은 사과의 말씀 드린다"며 "보상안 및 추가 필요 사항은 지속적으로 안내하겠다"고 말했다.
2026-06-05 08:37:24
-
-
-
안랩, 공급망 불안 악용…업무 메일 위장 피싱 주의보
[경제일보] 안랩이 원자재 가격 상승과 공급망 불안 이슈를 악용한 피싱 메일을 발견하고 사용자 주의를 당부했다. 공격자는 ‘단가 인상 공문’으로 위장한 업무 메일을 보내 첨부파일 열람을 유도한 뒤 가짜 로그인 페이지에서 계정 정보를 탈취하려 했다. 안랩은 최근 단가 인상 공문으로 위장해 계정 정보 탈취를 시도하는 피싱 메일을 확인했다고 15일 밝혔다. 이번 사례에서 공격자는 협력업체가 보낸 업무 메일처럼 꾸민 뒤 메일 제목에 ‘단가 인상 공문’을 사용했다. 본문에는 “최근 원자재 가격 상승으로 인해 부득이하게 단가 인상을 시행한다”는 내용을 담아 수신자가 첨부파일을 열어보도록 유도했다. 메일에 첨부된 PDF 파일을 실행하면 공문 내용이 바로 열리는 것이 아니라 PDF 뷰어를 다운로드해야 한다는 화면이 나타난다. 화면의 ‘다운로드’ 버튼을 클릭하면 로그인 페이지로 위장한 피싱 사이트로 연결된다. 사용자가 PDF 뷰어 다운로드 절차로 착각해 이메일 계정과 비밀번호를 입력하면 해당 정보는 공격자 서버로 전송된다. 탈취된 계정은 기업 내부 시스템 침투, 추가 피싱 메일 발송, 거래처 사칭, 내부 자료 유출 등 2차 공격에 악용될 수 있다. 이번 사례는 피싱 공격이 단순한 악성 링크 유포에서 실제 업무 맥락을 정교하게 흉내 내는 방식으로 고도화되고 있음을 보여준다. 원자재 가격 상승, 납기 지연, 단가 조정처럼 기업 실무자가 민감하게 반응할 수밖에 없는 주제를 활용해 정상 업무 메일처럼 보이도록 만드는 것이 특징이다. 최근 피싱 기법도 다양해지고 있다. 이메일뿐 아니라 문자, 업무용 메신저, 전화 등 여러 채널을 활용하고 QR코드, 클라우드 공유 링크, 가짜 캡차 화면 등을 동원해 보안 장비 탐지를 우회하는 시도도 늘고 있다. AI 확산 이후에는 어색한 문법이나 오탈자만으로 피싱 메일을 구별하기도 어려워졌다. 계정 탈취형 피싱은 기업 보안에서 특히 위험하다. 공격자가 가짜 로그인 페이지로 사용자를 유도해 아이디와 비밀번호를 입력하게 만들고 경우에 따라 다중인증 코드까지 노린다. 계정이 한 번 탈취되면 공격자는 정상 계정으로 내부 메일을 보내거나 거래처를 속일 수 있어 피해가 빠르게 확산될 수 있다. 피해 예방을 위해서는 기본 보안 수칙을 지켜야 한다. 발신자 이메일 주소의 도메인이 실제 거래처와 일치하는지 확인하고 발신자가 불분명한 메일의 첨부파일이나 URL은 실행하지 않아야 한다. PC와 운영체제, 소프트웨어, 인터넷 브라우저에는 최신 보안 패치를 적용하고 백신 실시간 감시 기능을 활성화해야 한다. 업무 메일이라도 로그인 페이지로 연결될 경우 반드시 URL을 확인해야 한다. 기존 사내 시스템이나 거래처 포털이 아닌 낯선 주소에서 이메일 계정과 비밀번호를 요구한다면 입력을 중단해야 한다. 메일 본문 링크를 통해 접속하기보다 공식 사이트 주소를 직접 입력하는 습관도 필요하다. 기업 차원에서는 임직원 보안 교육과 함께 메일 보안 솔루션, 웹 필터링, 다중인증, 계정 이상 행위 탐지 체계를 강화해야 한다. 로그인 위치와 기기, 접속 시간, 대량 메일 발송 등 이상 징후를 실시간으로 확인하는 체계도 중요하다. 이익규 안랩 분석팀 매니저는 “최근 중동발 원자재 수급 불안, 메모리 가격 급등 등 업계 관심이 높은 이슈를 악용해 정상적인 업무 메일로 오인하게 만드는 피싱 시도가 이어질 수 있다”며 “업무 관련 메일이라 하더라도 발신자 이메일 주소와 첨부파일, URL의 진위를 반드시 확인하고 의심스러운 웹사이트에는 개인 및 계정 정보를 절대 입력하지 않아야 한다”고 말했다. 안랩 V3 제품군과 샌드박스 기반 지능형 위협 대응 솔루션 ‘안랩 MDS’는 이번 메일로 유포 중인 URL 탐지 기능을 지원한다. 안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’에서도 피싱 공격 동향과 보안 권고문, 침해지표를 제공하고 있다.
2026-05-15 10:50:49
-
-
-
-
-