과학기술정보통신부는 외부의 비인가 접근으로 티빙 이용자의 개인정보 일부가 유출됐다고 지난 3일 밝혔습니다. 유출된 정보는 회원 아이디, 이름, 생년월일, 연계정보(CI), 중복가입확인정보(DI), 전화번호(마지막 4자리 암호화), 이메일 주소(도메인 제외 ID 부분 암호화), 환불 계좌번호(암호화), 비밀번호(단방향 암호화) 등입니다.
이번 사건을 조사 중인 정부 등에 따르면 지금까지 파악된 유출 규모는 1300만명에 달합니다. 지난달 기준 티빙의 월간 활성 이용자(MAU)수는 882만명으로, 유출 대상은 유료·무료 가입자를 모두 포함하는 것으로 추정됩니다. 티빙 측은 "정확한 피해 규모는 조사가 끝나야 확정할 수 있을 것"이란 입장입니다.
CI(Connecting Information)는 일종의 '디지털 주민등록번호'로 불리는 온라인 상 개인 고유번호인데, 어느 사이트에서나 같은 값이 쓰입니다. 한 번 유출되면 교체가 불가능하고, 타 사건에서의 유출 정보와 결합해 신원을 특정하는 데 악용될 수 있단 위험이 있습니다. 이 때문에 방송미디어통신위원회도 최근 티빙의 CI 정보를 안전하게 관리해 왔는지 실태 점검에 나섰습니다.
암호화된 상태로 유출된 정보라 해도 무조건 안전한 건 아닙니다. 암호화 강도나 암호화 키 관리 상태에 따라 공격자가 복원이 가능할 수도 있기 때문입니다. '디지털 안전장치가 제 기능을 했느냐'가 이번 조사의 쟁점이 될 전망입니다. 다만 주민등록번호와 신용카드 등 결제 관련 정보는 유출되지 않은 것으로 확인됐습니다.
티빙이 한국인터넷진흥원(KISA)에 제출한 침해사고 신고서에 따르면, 이번 사태는 단순 데이터베이스(DB) 유출이 아니었습니다.
데이터베이스를 밖에서 긁어간 게 아니라, 범인이 내부 시스템에 접속해 통제권을 얻어 직접 '명령어(쿼리)'를 입력하는 등 데이터 조회를 실행한 정황이 확인됐습니다. 이런 비정상적 데이터 조회와 명령이 발생하고 인지하기까지 21시간이 걸렸습니다.
신고서 상 '대응현황'에서 티빙 측이 '공격에 사용된 것으로 확인된 아마존웹서비스(AWS) 액세스 키를 폐기했다'고 적은 것으로 미루어, 해당 접근 키 관리 부실이 주요 원인으로 보입니다. 또 티빙 측은 개발자들이 코드를 공유하고 함께 작업하는 플랫폼인 '깃허브(GitHub)의 하드코딩을 제거하고 교체했다'고 신고했는데, 개발자 등 직원을 통해 시스템 로그인 정보격인 '자격증명'도 노출됐던 것으로 추정됩니다. 가장 기본적인 보안 수칙이 지켜지지 않은 정황입니다.
티빙은 사고를 인지한 직후인 지난 1일 과기정통부에 침해 사고를 신고했습니다. 정부는 이번 사고를 중대한 사고로 판단하고, 과기정통부·한국인터넷진흥원 관계자와 디지털 포렌식·클라우드 보안 분야 민간 전문가들로 구성된 민관합동조사단을 긴급 출범시켰습니다.
최주희 티빙 대표이사는 앞서 공식 사과문을 내고 "이용자 여러분께서 믿고 맡겨주신 정보를 지켜드리지 못했고, 그 책임은 전적으로 티빙에 있다"고 밝혔습니다. 또 "보안 체계를 원점 재점검해 다시는 반복되지 않도록 하겠다"고 강조했습니다.
https://n.news.naver.com/article/437/0000495250?sid=101
