속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

티빙 1953만 명 유출 사고, CI(연계정보) 유출 논란 팩트체크 - ISMS-P 관점 분석

2026년 티빙 개인정보 유출 사고에서 KT·네이버·카카오 제휴 서비스 이용자의 CI(연계정보) 유출 여부가 쟁점이 되고 있다. ISMS-P 인증기준 관점에서 본 사고의 기술적·관리적 취약점을 분석한다.

백남정 기자
입력 2026년 7월 19일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/f9d743

핵심 요약

- 티빙에서 1953만 명의 개인정보가 유출되었으며, KT·네이버·카카오 등 제휴 서비스 이용자의 CI(연계정보) 유출 여부가 핵심 쟁점 - CI는 주민등록번호 대체 수단으로 본인확인기관이 발급하는 고유 식별값으로, 유출 시 서비스 간 개인정보 결합 가능성 존재 - 대규모 유출 사고는 ISMS-P 인증기준의 접근통제, 암호화, 로그 관리 등 다층 보안통제 미흡에서 기인

주요 내용

2026년 7월 현재, 티빙에서 발생한 1953만 명 규모의 개인정보 유출 사고는 국내 OTT 서비스 중 최대 규모로 기록되고 있다. 이번 사고에서 특히 주목받는 부분은 티빙 자체 회원뿐 아니라 KT·네이버·카카오 등 제휴 서비스를 통해 간편 로그인한 이용자들의 정보까지 유출 범위에 포함되었다는 점이다. 이에 따라 CI(Connecting Information, 연계정보) 유출 여부가 핵심 쟁점으로 부상했다.

CI는 개인정보보호법에 따라 주민등록번호의 사용을 최소화하기 위해 도입된 대체 식별 수단이다. NICE평가정보, 코리아크레딧뷰로(KCB), 서울신용평가정보 등 본인확인기관이 주민등록번호를 기반으로 생성하는 88자리 암호화된 코드로, 동일인을 고유하게 식별할 수 있다. 문제는 CI가 여러 서비스에서 공통으로 사용되기 때문에, 유출될 경우 서로 다른 서비스 간 개인정보를 결합(매칭)하여 보다 상세한 개인 프로파일을 구축할 수 있다는 점이다.

티빙은 CJ ENM의 자회사로 운영되며, 다양한 제휴사와의 통합 인증 체계를 구축해왔다. 제휴 로그인 방식은 사용자 편의성을 높이지만, 동시에 공격 표면(attack surface)을 확대하는 요인이 된다. 이번 사고에서는 데이터베이스 접근 권한 관리 부실, 암호화 미적용 또는 취약한 암호화 알고리즘 사용, 비정상 접근 탐지 시스템의 오작동 등 복합적 보안 취약점이 동시에 작용한 것으로 추정된다.

특히 CI의 경우 개인정보보호법 시행령 제19조에 따라 암호화 저장이 의무화되어 있으나, 실무에서는 서비스 간 연계를 위해 평문 또는 복호화 가능한 형태로 보관하는 사례가 적지 않다. 이번 사고가 CI 유출까지 포함한다면, 이는 단순한 개인정보 유출을 넘어 크로스 서비스 프로파일링이 가능한 2차 피해로 확대될 수 있어 그 파급력이 매우 크다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 티빙 사고는 정보보호 및 개인정보보호 관리체계의 다층 방어(defense in depth) 원칙이 제대로 작동하지 않았음을 보여주는 전형적 사례다. 1953만 명이라는 대규모 데이터가 유출되었다는 것은 접근통제 실패, 데이터 암호화 미흡, 이상징후 탐지 지연이 동시에 발생했음을 의미한다. 특히 CI와 같은 민감정보는 ISMS-P 인증심사 시 필수 점검 항목이며, 저장·전송·파기 전 과정에서 암호화 적용 여부와 키 관리 체계를 엄격히 확인한다.

기업 입장에서는 이번 사고를 계기로 제휴 서비스 간 데이터 연계 구조를 재점검해야 한다. 특히 CI는 법적으로 "개인정보"로 분류되며, 그 자체로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합 시 식별 가능하다는 점에서 준민감정보에 준하는 보호가 필요하다. 또한, 최소권한 원칙에 따라 개발자·운영자의 DB 직접 접근을 제한하고, 모든 접근 이력을 실시간 모니터링하며, 비정상 행위에 대한 자동 차단 정책을 수립해야 한다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.2 (개인정보 암호화) 개인정보보호법 시행령 제21조 및 제30조에 따라 고유식별정보, 비밀번호, 바이오정보는 암호화 저장이 의무다. CI는 고유식별정보는 아니지만, 본인확인기관이 주민등록번호 기반으로 생성한 정보로 실무상 동등한 수준의 보호가 요구된다. 심사 시에는 ① CI의 DB 내 암호화 적용 여부 ② AES-256 등 안전한 알고리즘 사용 여부 ③ 암호키 분리 보관 및 접근통제 ④ 전송 구간 TLS 1.2 이상 적용 여부를 중점 점검한다.

2. 인증기준 2.8.6 (개인정보 접근통제) 개인정보 처리 시스템에 대한 접근 권한은 업무 역할 기반으로 최소화하고, 모든 접근 이력을 로깅해야 한다. 특히 대량의 개인정보 다운로드나 조회는 ① 사전 승인 절차 ② 2차 인증(MFA) ③ 실시간 알림 ④ 로그 보존(최소 3년) 체계가 필수다. 이번 사고처럼 1953만 건이 유출되었다면, 대량 조회·추출에 대한 이상징후 탐지 시스템(DLP, DB 접근통제 솔루션 등)이 작동하지 않았거나 우회되었을 가능성이 크다.

3. 인증기준 3.3.2 (침해사고 모니터링 및 대응) 개인정보 유출 사고는 사전 탐지와 신속 대응이 피해 최소화의 핵심이다. ISMS-P에서는 ① 24시간 보안관제 체계 ② 비정상 접근 패턴 실시간 탐지 ③ 사고 대응 절차 및 조직(CERT) 구성 ④ 모의훈련 연 1회 이상 실시를 요구한다. 사고 발생 시 개인정보보호법 제34조에 따라 지체 없이 이용자 및 개인정보보호위원회에 통지해야 하며, 통지 지연 시 과징금·과태료 부과 대상이 된다.

CPPG·ISMS-P 연계 포인트

CI(연계정보)와 DI(중복가입확인정보)의 개념 구분 CI는 서로 다른 서비스 간 동일인을 연계(매칭)할 수 있도록 본인확인기관이 생성하는 값으로, 모든 서비스에서 동일한 값이 발급된다. 반면 DI는 동일 서비스 내 중복 가입을 방지하기 위한 값으로, 사이트마다 다른 값이 생성된다. CPPG 시험에서는 CI 유출 시 크로스 서비스 프로파일링 위험성, DI는 서비스별 독립성 보장 원리를 이해하는 것이 핵심이다.

암호화 의무 대상 개인정보의 범위 개인정보보호법 시행령 제21조(안전조치 의무)와 제30조(개인정보의 파기 특례)는 ① 주민등록번호 ② 여권번호 ③ 운전면허번호 ④ 외국인등록번호 등 고유식별정보, ⑤ 비밀번호, ⑥ 바이오정보를 반드시 암호화하도록 규정한다. CI는 명시적 의무 대상은 아니지만, 정보통신망법 시행령 제15조 및 개인정보의 안전성 확보조치 기준(고시)에 따라 "안전한 암호 알고리즘으로 암호화"가 권고되며, ISMS-P 심사에서는 사실상 필수 항목으로 평가된다.

#티빙개인정보유출#CI연계정보#ISMS-P#본인확인기관#개인정보침해사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사