티빙 CI·DI 유출 사고, 대구참여연대 집단소송 돌입…ISMS-P 관점 분석
티빙에서 발생한 대규모 개인정보 유출 사고로 CI·DI까지 유출되며 집단소송이 시작됐다. ISMS-P 관점에서 본 핵심 쟁점과 기업 대응 방향을 분석한다.
https://privacynews.kr/s/db7473핵심 요약
- 티빙(TVING)에서 역대급 개인정보 유출 사고 발생, 연계정보(CI)·중복가입확인정보(DI)까지 유출 - 대구참여연대가 방만 경영 책임 추궁 및 피해 구제를 위한 집단소송 원고 모집 시작 - CI/DI는 개인을 고유하게 식별할 수 있는 정보로, 유출 시 타 서비스 연계 피해 우려 증가주요 내용
2026년 7월, 국내 주요 OTT 플랫폼 티빙에서 발생한 개인정보 유출 사고가 단순한 개인정보 침해를 넘어 방만 경영 문제로 확대되고 있다. 대구참여연대는 이번 사고에 대한 책임을 묻기 위해 집단소송 원고 모집에 나섰으며, 특히 연계정보(CI)와 중복가입확인정보(DI)까지 유출된 점을 심각한 문제로 지적하고 있다.
CI와 DI는 「전자서명법」 및 「개인정보보호법」상 본인확인기관이 발급하는 고유 식별값으로, 각각 서비스 간 이용자 연계와 중복 가입 확인 목적으로 사용된다. 이들 정보는 주민등록번호를 대체하는 안전한 식별 수단으로 설계되었으나, 일단 유출되면 해당 이용자가 이용하는 다른 서비스까지 연계 추적이 가능해 2차 피해 위험이 크다.
일반적인 개인정보 유출 사고에서는 이름, 이메일, 전화번호 등이 주로 문제가 되지만, CI/DI 유출은 본질적으로 다른 차원의 위험을 내포한다. 공격자가 유출된 CI/DI를 활용하면 피해자의 다른 서비스 이용 내역을 교차 분석하거나, 타 플랫폼에서의 활동을 추적할 수 있기 때문이다. 이는 개인의 디지털 발자국 전체가 노출되는 결과를 초래할 수 있다.
대구참여연대의 집단소송 추진은 단순히 개인정보 유출에 대한 손해배상을 넘어, 사업자의 방만한 보안 관리 체계에 대한 경영 책임을 묻는다는 점에서 주목된다. 2026년 현재 개인정보 침해에 대한 사회적 경각심이 높아진 상황에서, 이번 사건은 OTT 업계 전반의 보안 관리 체계 재점검 계기가 될 전망이다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, 이번 티빙 사고는 전형적인 '기술적 보호조치 실패'와 '접근통제 미흡' 사례로 분류된다. CI/DI와 같은 민감한 식별정보는 암호화 저장은 물론, 접근 권한을 최소화하고 별도의 물리적·논리적 분리 저장이 필수다. 특히 ISMS-P 인증을 취득한 사업자라면 이러한 고유식별정보에 대한 강화된 통제 체계를 운영했어야 하나, 유출 사실 자체가 통제 실패를 방증한다.
기업 입장에서는 이번 사고를 계기로 ①개인정보 영향평가(PIA) 재실시 ②CI/DI 등 고유식별정보의 물리적 분리 저장 ③접근 로그 실시간 모니터링 체계 구축 ④침해사고 대응 매뉴얼 실효성 검증 등을 즉시 추진해야 한다. 또한 집단소송 리스크에 대비해 법률 자문과 함께 피해자 보상 방안을 선제적으로 마련하는 것이 피해 확산 방지와 기업 이미지 회복에 유리하다. 방만 경영 책임 추궁이라는 프레임이 형성된 만큼, 경영진의 보안 거버넌스 강화와 책임자 문책도 불가피해 보인다.
ISMS-P 심사원 체크포인트
1. 개인정보 암호화 (ISMS-P 인증기준 2.8.2) - CI/DI는 「개인정보의 안전성 확보조치 기준」 제7조에 따라 고유식별정보에 준하는 암호화 대상 - 저장 시 안전한 암호 알고리즘(AES-256 이상)으로 암호화했는지, 암호키 관리는 별도 시스템에서 이루어지는지 점검 - 전송 구간 암호화(TLS 1.2 이상) 적용 여부 및 종단 간 암호화(E2EE) 검토 필요
2. 개인정보 접근통제 (ISMS-P 인증기준 2.8.4) - CI/DI 데이터베이스 접근 권한이 업무상 필요 최소한으로 제한되었는지 확인 - 특히 개발자·운영자의 운영 DB 직접 접근 차단, 2차 인증(MFA) 적용 여부 - 접근 로그의 실시간 모니터링 및 6개월 이상 보관, 이상 접근 탐지 체계 구축 여부 - 「개인정보보호법」 제29조(안전조치의무) 위반 시 과태료 및 형사처벌 대상
3. 개인정보 영향평가 및 위험 관리 (ISMS-P 인증기준 2.2.3, 2.5.3) - 고유식별정보 처리 시스템 구축·변경 시 개인정보 영향평가(PIA) 수행 여부 - CI/DI 유출 시나리오에 대한 위험 평가 및 대응 계획 수립 여부 - 침해사고 대응 훈련 실시 이력 및 실효성 검증 결과
CPPG·ISMS-P 연계 포인트
연계정보(CI)와 중복가입확인정보(DI) CI는 Connecting Information의 약자로, 서로 다른 인터넷 사이트에서 동일인 여부를 확인하기 위한 개인식별 대체 수단이다. DI(Duplication Information)는 동일 사이트 내 중복 가입을 방지하기 위한 정보다. 두 정보 모두 본인확인기관이 생성하며, 주민등록번호를 직접 사용하지 않고도 개인을 고유하게 식별할 수 있어 유출 시 프라이버시 침해 위험이 매우 크다. CPPG 시험에서는 이들의 법적 근거(전자서명법), 활용 목적, 보호 조치 요구사항이 출제된다.
개인정보 안전성 확보조치 기준 제7조 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통해 송신하거나 보조저장매체 등을 통해 전달하는 경우 이를 암호화해야 한다. 또한 비밀번호 및 바이오정보는 암호화하여 저장해야 하며, 고유식별정보는 해시함수 또는 암호화 적용이 필수다. CI/DI는 개인을 고유 식별하는 정보로서 이 기준의 적용 대상이며, ISMS-P 심사 시 암호화 적용 여부가 필수 점검 항목이다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
