[딜사이트 박안나 기자] 온라인동영상서비스(OTT) 티빙에서 개인정보 유출 사고가 발생하면서 최대주주인 CJ ENM의 정보보호관리 체계에도 관심이 쏠리고 있다. 특히 티빙이 불과 반년 전에도 외부 공격에 노출됐던 사실이 확인되면서 정보보호가 제대로 작동했는지를 둘러싼 의구심도 커지는 분위기다.

티빙은 외부 해킹 공격으로 일부 이용자 개인정보가 유출된 사실을 확인하고 이용자들에게 관련 내용을 공지했다. 유출된 정보에는 아이디와 이름, 생년월일, 성별, CI(연계정보), DI(중복가입확인정보), 휴대전화 번호, 이메일 주소 일부, 환불 계좌번호, 비밀번호 등이 포함됐다. 다만 티빙에 따르면 비밀번호와 계좌번호 등 주요 정보는 암호화된 상태였다는 설명이다.

티빙은 사고 인지 직후 공격에 사용된 IP를 차단하고 클라우드 접근 통제 정책을 변경했다. 또한 데이터베이스(DB) 접속 모니터링을 강화하고 추가 피해 확산 방지를 위한 보안 조치를 실시했다. 이용자 피해 구제를 위한 전담 고객센터도 운영 중이다.

문제는 이번 사고가 처음이 아니라는 점이다. 티빙은 지난해 12월에도 크리덴셜 스터핑(Credential Stuffing) 공격을 탐지해 한국인터넷진흥원(KISA)에 신고했다. 크리덴셜 스터핑은 다른 사이트에서 유출된 계정 정보를 활용해 동일한 아이디와 비밀번호 조합으로 로그인을 시도하는 공격 방식이다.

당시 티빙은 공격 사실을 인지하고 대응에 나섰지만 6개월도 지나지 않아 실제 개인정보 유출 사고가 발생했다. 이번 개인정보 유출 사고는 해커가 티빙의 개인정보 데이터베이스(DB) 서버에 직접 접근하는 방식으로 이뤄진 만큼 지난해 공격과는 다른 양상을 보인다. 이에 두 사고 사이 직접적인 연관이 있는지는 확인되지 않았지만 반복된 보안 이슈 자체가 정보보호 체계의 실효성 문제를 보여준다는 지적이 나온다.

 

이에 이번 사고는 티빙 최대주주인 CJ ENM의 관리 책임론으로 이어질 여지도 있다는 업계 지적이다. 모회사인 CJ ENM은 현재 티빙 지분 48.85%를 보유한 최대주주다. KT와 SLL중앙, 네이버, 투자사 등 주요 주주들이 각각 10% 안팎의 지분을 보유하고 있는 것과 비교하면 실질적 지배력을 행사하는 위치에 있다.

특히 CJ ENM이 그동안 그룹 차원의 정보보호 체계를 강조해왔다는 점에서 이번 사고는 더욱 뼈아프다는 평가다. 지난해 발간된 ESG 보고서에 따르면 CJ ENM은 엔터테인먼트 부문과 커머스 부문별 최고정보보호책임자(CISO)를 지정하고 CJ그룹 정보보호위원회와 연계한 거버넌스를 운영하고 있다. 보고서에는 자회사와 외부 협력사까지 포함한 정보보호 관리체계를 고도화하겠다는 내용도 담겼다.

법적으로 개인정보 유출에 대한 책임은 개인정보처리자인 티빙에 있다. 하지만 그룹 차원의 보안 거버넌스를 운영한다고 밝혀온 만큼 최대주주인 CJ ENM 역시 관리·감독 책임에서 자유롭기 어렵다는 지적이 나온다.

일각에서는 정보보호 조직의 위상에도 주목하고 있다. 현재 CJ ENM과 티빙 모두 CISO를 선임하고 있는 것으로 알려졌지만 최고경영진이 아닌 실무 조직 책임자급 인사가 해당 역할을 맡고 있는 것으로 전해진다. 

정보보호 투자와 시스템 개선을 추진하기 위해서는 조직 내 충분한 권한과 예산 집행력이 뒷받침돼야 하는데 실무급 중심 구조로는 한계가 있을 수 있다는 일각의 분석이다. 특히 이는 네이버, 카카오 등 플랫폼기업이 임원을 개인정보보호책임자로 선임하고 있는 것과도 대비된다.

결국 이번 개인정보 유출 사고가 티빙의 정보보호 역량은 물론 CJ ENM이 강조해 온 그룹 차원의 보안 관리체계가 실제 현장에서 얼마나 효과적으로 작동하고 있는지 가늠하는 시험대가 될 것이라는 관측도 나온다.

업계 한 관계자는 "최근 개인정보 유출 사고는 단순히 보안 솔루션을 얼마나 도입했느냐보다 조직 차원의 대응 체계와 의사결정 구조가 제대로 작동했는지가 중요하다"며 "보안 이슈가 반복적으로 발생했다는 점에서 정보보안 거버넌스 전반에 대한 점검이 필요할 것"이라고 지적했다. 

한편 티빙 관계자는 "정확한 피해 범위나 개인정보 사고 후 대응방안 등은 아직 정해진 것이 없다"며 말을 아꼈다.