2026년 상반기, CI 유출 사고 '연쇄 폭발'…금융·OTT 동시 피격
국내 최대 OTT 티빙 1953만 명, 우리은행 1.7만 명 개인정보 유출…연계정보(CI) 유출로 2차 피해 우려 확산. 외주관리·접근통제 부실이 공통 원인으로 지목되며, 개인정보 보호 체계 전면 재점검 요구 거세지고 있다. --- 티빙, OTT 사상 최대 규모
https://privacynews.kr/s/2e4934국내 최대 OTT 티빙 1953만 명, 우리은행 1.7만 명 개인정보 유출…연계정보(CI) 유출로 2차 피해 우려 확산. 외주관리·접근통제 부실이 공통 원인으로 지목되며, 개인정보 보호 체계 전면 재점검 요구 거세지고 있다.
티빙, OTT 사상 최대 규모 유출…"CI 유출 여부가 핵심"
2026년 7월 발생한 티빙 개인정보 유출 사고는 1,953만 명이라는 사상 초유의 피해 규모를 기록했다. 더 심각한 문제는 KT·네이버·카카오 제휴 로그인 이용자의 CI(연계정보) 유출 여부다.
CI는 주민등록번호를 대체해 서로 다른 서비스 간 동일인 여부를 확인하는 핵심 식별자다. 유출 시 금융·공공·통신 등 연계 서비스 전반에서 명의도용, 계정 탈취 등 2차 피해가 발생할 수 있어 단순 개인정보 유출과는 차원이 다른 위협으로 평가된다.
초기 조사 결과, 접근통제·암호화·이상징후 탐지 등 다층 보안통제가 전반적으로 미흡했던 것으로 드러났다. 대구참여연대는 "방만 경영의 책임을 물어야 한다"며 집단소송 원고 모집에 착수, 법적 분쟁으로 확산되는 양상이다.
우리은행, 블록체인 외주 과정서 '보안 구멍'
금융권도 안전지대가 아니었다. 우리은행은 블록체인 시스템 외주 개발 과정에서 CI를 포함한 고객 정보 1만7,551건을 유출했다. 외주업체에 대한 보안관리·감독 체계가 허술했던 것이 직접적 원인으로 지목된다.
금융당국 관계자는 "금융감독원의 기관제재와 개인정보보호위원회의 과징금 부과가 중첩 적용될 가능성이 높다"고 밝혔다. 금융기관의 수탁사 관리 책임이 다시 한번 시험대에 올랐다.
공통 패턴: 외주관리 부실 × 접근통제 미흡 × CI 집중 유출
두 사고의 공통점은 명확하다.
| 구분 | 티빙 | 우리은행 |
|---|---|---|
| 유출 규모 | 1,953만 명 | 1.7만 건 |
| 핵심 유출 정보 | CI/DI | CI |
| 주요 원인 | 다층 보안통제 부재 | 외주업체 관리 부실 |
| 예상 제재 | 과징금 + 집단소송 | 금감원·개보위 중첩 제재 |
CI·DI의 집중 유출, 외주·제휴 환경에서의 통제 공백, 실시간 이상탐지 체계 미비가 반복되고 있다. 이는 개인정보보호법 제29조(안전조치 의무) 위반의 전형적 패턴이다.
기업·기관 대응 방안
- 수탁사 보안 수준의 주기적 점검·감사 의무화
- CI·DI 등 핵심 식별정보에 대한 별도 암호화·접근통제 강화
- 이상행위 탐지(UEBA) 및 실시간 모니터링 체계 구축
- 제휴·연동 서비스 간 정보 흐름 관리(Data Flow Mapping) 체계화
- 사고 발생 시 72시간 내 신고 및 피해 확산 방지 프로세스 상시 가동
>📚 CPPG·ISMS-P 시험 연계 포인트
개인정보보호법 제26조(업무위탁에 따른 개인정보 처리 제한)
위탁자는 수탁자가 개인정보를 안전하게 처리하는지 교육·감독할 의무가 있으며, 수탁자의 귀책으로 발생한 손해에 대해 위탁자도 사용자 책임을 진다. ISMS-P 인증 시 '외부자 보안(2.3.1)'과 '위탁관리(3.5.1)' 항목에서 수탁사 계약·점검·관리 체계가 주요 심사 대상이다.
백남정 기자 | 2026.07

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
