티빙 1300만 명 개인정보 유출 사태, '솜방망이 처벌' 끝내야 합니다

최근 대한민국 국민 4명 중 1명꼴로 피해를 입은 역대급 개인정보 유출 사고가 발생했습니다. 바로 온라인 동영상 서비스(OTT) 플랫폼 '티빙(TVING)'에서 무려 1,300만 명의 회원 개인정보가 유출된 것인데요.

단순한 기술적 오류나 실수를 넘어, 기업의 안일함과 허술한 대응 시스템이 고스란히 드러난 이번 사태의 심각성과 향후 해결 과제들을 짚어보고자 합니다.

1. 평생 바꿀 수 없는 '연계정보(CI)'까지 유출

이번 유출이 유독 심각한 이유는 단순한 아이디, 비밀번호 수준을 넘어섰기 때문입니다.

유출된 정보 중에는 일종의 '디지털 주민번호'로 불리는 연계정보(CI)가 포함되어 있습니다. 연계정보는 한 번 유출되면 평생 교체할 수도 없는 고유한 정보입니다. 이 치명적인 데이터가 현재 어두운 웹(다크웹)을 떠돌아다니며 2차, 3차 범죄에 악용될 위기에 처해 있습니다.

2. 보안의 ABC도 안 지킨 티빙의 안일함

조사 결과를 보면, 이번 사태는 천재지변이 아닌 전형적인 '인재(人災)'입니다.

• 깃허브(GitHub)에 소스코드 노출: 티빙 개발자들이 아마존 웹서비스(AWS) 접속 키를 그대로 노출시킨 것으로 판단됩니다. 개발자라면 당연히 지켜야 할 가장 기본적인 보안 수칙조차 지키지 않은 결과입니다.
• 21시간 동안 무방비 상태: 해커가 데이터베이스(DB)에 침투해 무단으로 명령어를 입력하고 정보를 빼가는 동안, 티빙 측은 21시간 동안 이 사실을 인지조차 하지 못했습니다.

3. '법정 신고 마감 1분 전' 늑장 신고 의혹

사고 이후 티빙이 보여준 행태는 더 큰 공분을 사고 있습니다. 티빙은 사고를 인지한 후 정확히 23시간 59분이 지나서야 한국인터넷진흥원(KISA)에 신고했습니다. 법정 신고 기한을 단 1분 남겨둔 시점이었습니다.

이는 1,300만 명이라는 초대형 유출 사고를 어떻게든 숨기거나 축소하려 시간을 끈 것이 아니냐는 비판을 피하기 어려워 보입니다.

💡 대한민국은 개인정보 무방비 국가인가?

그동안 SKT, KT, 쿠팡, 롯데카드, 신한카드 등 대기업들의 대형 개인정보 유출 사고가 끊이지 않았습니다. 기업들이 보안을 '안전 장치'가 아닌 단순한 '비용'으로만 취급하기 때문입니다. 사고가 터져도 기업이 지는 책임과 처벌이 너무 가벼웠던 탓도 큽니다. 이제는 악순환을 끊어야 합니다.

⚖️ 향후 대응 방안: '처벌 강화'와 '과징금 실효성 확보'

결국 해결책은 기업들이 두려워할 만한 처벌 강화와 제도적 과징금의 실효성 확보에 있습니다.

정부는 이번 티빙 사태의 유출 경위와 피해 상황을 한 점 의혹 없이 철저히 조사해야 합니다. 특히 현행법이 정한 최고 수준의 제재뿐만 아니라, '21시간 늑장 인지'와 '1분 전 편법 신고'에 대해서도 별도의 가중 책임을 물어야 합니다.

개인정보 보호법 개정안 시행 (9월 11일) 다행히 오는 9월 11일부터는 개정된 개인정보 보호법이 시행되면서 과징금 상한이 **매출액의 10%**로 대폭 강화됩니다.

접속 키 노출 같은 황당한 보안 수칙 위반을 '단순 실수'로 치부하며 안일하게 시스템을 운용하는 기업들에게는, 법 개정을 통해서라도 반드시 뼈아픈 대가를 치르게 해야 합니다. 그래야만 기업들이 보안 투자를 아끼지 않을 것이며, 국민의 소중한 개인정보를 지켜낼 수 있을 것입니다.