속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
과징금·제재AI 초안

티빙 1953만 명 개인정보 유출, 국내 OTT 역대 최대 규모… CI 유출 여부 '촉각'

2026년 7월, 국내 대표 OTT 플랫폼 티빙에서 1,953만 명의 개인정보가 유출되는 초대형 사고가 발생했다. 이는 국내 OTT 서비스 사상 최대 규모로, KT·네이버·카카오 등 제휴 로그인 이용자의 CI(연계정보) 유출 여부가 핵심 쟁점으로 떠올랐다. ---

백남정 기자
입력 2026년 7월 19일
단축URLhttps://privacynews.kr/s/7f8969

2026년 7월, 국내 대표 OTT 플랫폼 티빙에서 1,953만 명의 개인정보가 유출되는 초대형 사고가 발생했다. 이는 국내 OTT 서비스 사상 최대 규모로, KT·네이버·카카오 등 제휴 로그인 이용자의 CI(연계정보) 유출 여부가 핵심 쟁점으로 떠올랐다.


사고 개요 및 경위

개인정보보호위원회와 업계에 따르면, 티빙은 지난 7월 외부 해킹 공격으로 인해 가입자 개인정보가 대량 유출된 정황을 확인하고 관계 당국에 신고했다. 유출된 정보에는 이름, 이메일, 휴대전화번호, 생년월일 등 기본 개인정보가 포함된 것으로 알려졌다.

특히 이번 사고의 핵심 쟁점은 CI(Connecting Information, 연계정보)의 유출 여부다. CI는 주민등록번호를 대체해 온라인 서비스 간 동일인 여부를 확인하는 고유 식별값으로, 금융·통신·공공 서비스 전반에서 광범위하게 활용된다. 만약 CI가 유출됐다면 명의도용, 금융사기 등 2차 피해 확산 우려가 크다.

티빙은 KT, 네이버, 카카오 등 대형 플랫폼과의 소셜 로그인(간편 로그인) 서비스를 제공해 왔으며, 해당 제휴사 이용자의 CI 처리 방식에 대한 조사가 진행 중이다.


원인 분석: 다층 보안통제의 부재

보안 전문가들은 이번 사고의 근본 원인으로 다층 보안통제 미흡을 지목한다.

취약점세부 내용
접근통제 미흡내부 DB 접근권한 관리 부실, 관리자 계정 탈취 가능성
암호화 미적용CI 등 민감정보 암호화 저장 여부 불명확
이상징후 탐지 부재대량 데이터 유출 시점까지 탐지 실패

특히 1,953만 건에 달하는 대규모 데이터가 한꺼번에 유출되기까지 이상징후를 감지하지 못했다는 점은 실시간 모니터링 체계의 심각한 허점을 드러낸다.


기업·기관 대응 방안

이번 사고를 계기로 OTT를 비롯한 대규모 온라인 서비스 기업들은 다음과 같은 보안 강화 조치가 시급하다.

  • CI 등 고유식별정보 암호화 의무 준수: 개인정보보호법상 고유식별정보는 반드시 암호화 저장·전송해야 한다.
  • 접근권한 최소화 및 주기적 검토: 개인정보 처리시스템 접근권한을 업무 필요 최소 범위로 제한하고, 분기별 권한 적정성을 점검해야 한다.
  • 이상징후 탐지 시스템(SIEM/SOAR) 고도화: 대량 데이터 조회·다운로드 등 비정상 행위를 실시간 탐지·차단하는 체계 구축이 필수다.
  • 침해사고 대응 모의훈련 정례화: ISMS-P 인증 기준에 따라 연 1회 이상 침해사고 대응 훈련을 실시하고, 실효성을 검증해야 한다.

개인정보보호위원회는 티빙에 대한 조사를 진행 중이며, CI 유출이 확인될 경우 과징금 상한(전체 매출액의 3%) 적용 가능성도 배제할 수 없다고 밝혔다.


📚 CPPG·ISMS-P 시험 연계 포인트

>

고유식별정보 암호화 의무 (개인정보보호법 제24조의2, 시행령 제30조)

>

CI(연계정보)는 「개인정보보호법」상 고유식별정보로 간주되어, 저장 시 반드시 암호화해야 한다. ISMS-P 인증 기준 2.7.1(암호정책 적용)에서도 고유식별정보의 암호화 저장·전송을 필수 점검 항목으로 규정하고 있다. 시험에서는 "CI 유출 시 법적 책임"과 "암호화 대상 정보의 범위"가 빈출 주제이므로 반드시 숙지해야 한다.


백남정 기자 | 개인정보보호 전문 데스크

#침해사고#개인정보보호#과징금
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사