속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

티빙·우리은행 CI 유출 사태, 2천만 명 2차 피해 공포 확산

--- 2026년 7월, 국내 최대 OTT 플랫폼 티빙에서 1,953만 명, 우리은행에서 1만7,551건의 개인정보가 유출되는 초대형 침해사고가 연이어 발생했다. 특히 주민등록번호 대체 식별자인 CI(연계정보)가 함께 유출되면서 금융·공공 서비스 전반으로 2차 피해가

백남정 기자
입력 2026년 7월 19일
단축URLhttps://privacynews.kr/s/3ca239

2026년 7월, 국내 최대 OTT 플랫폼 티빙에서 1,953만 명, 우리은행에서 1만7,551건의 개인정보가 유출되는 초대형 침해사고가 연이어 발생했다. 특히 주민등록번호 대체 식별자인 CI(연계정보)가 함께 유출되면서 금융·공공 서비스 전반으로 2차 피해가 번질 수 있다는 우려가 급증하고 있다.


사례 분석: 외주 관리의 치명적 허점

티빙, 1,953만 명 역대급 유출

티빙 유출 사고는 외주 개발업체의 보안 관리 부실에서 비롯됐다. 해당 업체가 운영하던 개발 서버에 접근통제가 제대로 적용되지 않았고, 공격자는 이 틈을 파고들어 회원 데이터베이스 전체에 접근한 것으로 파악된다. 유출 정보에는 이름, 연락처, 이메일뿐 아니라 CI까지 포함돼 있어 피해 규모가 단순 개인정보 유출을 넘어선다.

우리은행, 금융권 신뢰 타격

우리은행 역시 외주 협력사를 통한 유출로 확인됐다. 고객상담 업무를 위탁받은 협력사 직원이 내부 시스템에 과도한 권한을 부여받은 상태에서 고객 정보 1만7,551건을 무단 반출했다. 금융권 특성상 CI 유출은 타 금융기관 본인인증 시스템까지 영향을 미칠 수 있어 2차 금융사기 피해가 우려된다.


공통 패턴: 반복되는 3가지 취약점

두 사고의 공통 원인을 분석하면 명확한 패턴이 드러난다.

첫째, 수탁사 보안 관리 부실이다. 개인정보처리 업무를 위탁하면서도 수탁사에 대한 정기 점검과 보안 교육이 형식적으로 이뤄졌다.

둘째, 접근통제 미흡이다. 최소권한 원칙(Least Privilege)이 지켜지지 않아 불필요한 데이터까지 접근 가능한 상태로 방치됐다.

셋째, CI 관리 체계의 허술함이다. CI는 주민등록번호를 대체하는 범용 식별자임에도 암호화 저장 및 접근 로그 관리가 일반 개인정보 수준에 머물렀다.


기업·기관 대응 방안

전문가들은 이번 사태를 계기로 다음과 같은 근본적 대책이 필요하다고 강조한다.

▲수탁사 보안 점검 강화: 형식적 서면 점검을 넘어 실질적인 현장 실사와 보안 감사를 정례화해야 한다.

▲접근권한 최소화 및 실시간 모니터링: 역할 기반 접근통제(RBAC)를 철저히 적용하고, 비정상 접근 탐지 시스템을 고도화해야 한다.

▲CI 특별 관리 체계 구축: CI를 민감정보에 준하는 수준으로 분류하고, 별도 암호화 키 관리와 접근 로그 실시간 감시 체계를 마련해야 한다.

▲침해사고 대응 체계 점검: 유출 인지 후 72시간 내 통지 의무 준수를 위한 프로세스를 재점검해야 한다.

개인정보보호위원회는 두 기업에 대해 조사에 착수했으며, 과징금과 시정명령 등 행정처분이 불가피할 전망이다.


📚 CPPG·ISMS-P 시험 연계 포인트

>

위탁에 따른 수탁자 관리·감독 의무 (개인정보보호법 제26조)

>

개인정보처리자는 업무 위탁 시 수탁자에 대해 ①교육 실시 ②처리 현황 점검 ③재위탁 제한 등 관리·감독 의무를 진다. 수탁자가 위법행위로 손해를 발생시키면 위탁자도 사용자책임을 부담한다. ISMS-P 인증 심사 시 '외부자 보안(2.5)' 항목에서 위탁 계약서상 보안 조항, 정기 점검 이행 여부, 접근권한 관리 현황을 중점 확인한다.


백남정 기자 privacynews@example.com

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사