스트리밍 서비스 보안 침해 사건을 분석하기 위해 정부와 민간이 함께 구성한 합동 조사팀에 디지털 증거 분석 전문가 두 명이 합류했습니다. 이들은 공격자가 어떤 방법으로 시스템에 침입했는지, 그리고 추가 피해 가능성은 없는지 면밀히 살펴볼 예정입니다.
인터넷 진흥 기관 주도로 꾸려진 조사팀은 약 10명 규모이며, 민간 보안 회사 2곳도 함께 참여했습니다. 참여 기업들은 디지털 증거 수집 및 분석, 해킹 사고 대응, 개인정보 유출 사건 조사 경험을 갖춘 곳으로 알려졌습니다.
조사팀이 집중하고 있는 부분은 최초 침입 경로, 추가 시스템 해킹 여부, 개인정보 추가 유출 가능성 등입니다.
유출된 정보 항목은 다음과 같습니다:
- 이름, 아이디, 생년월일, 성별
- 휴대전화 번호(일부 암호화)
- 이 주소(일부 암호화)
- 환불용 계좌 번호(암호화)
- 비밀번호(암호화)
- 서비스 이용 기록
- 주민등록번호를 대신하는 식별 정보인 연계정보 및 중복가입 확인정보
합동 조사팀은 실제 유출된 정보의 규모와 범위를 확인하고, 2차 피해 발생 가능성을 중점적으로 살피고 있습니다.
업계에서는 피해 규모가 예상보다 클 수 있다는 우려가 나옵니다. 해당 서비스의 유료 회원은 500만 명을 넘어섰고, 4월 기준 월간 활성 이용자는 700만 명대에 달합니다. 유료 회원이 아니더라도 서비스 이용을 위해 회원 가입이 필요하기 때문에, 피해 대상이 1000만 명 수준에 이를 수 있다는 분석도 제기됩니다.
특히 침해 사고 조사 심의 회의에서는 유출된 정보에 이용자의 영화 및 콘텐츠 시청 패턴이 포함됐다는 점이 주목받았습니다. 시청 기록은 개인의 취향과 관심사를 드러낼 수 있는 민감한 정보로 간주될 수 있어 빠른 조사가 필요하다는 지적이 나왔습니다.
보안 업계는 특히 연계정보 유출에 주목하고 있습니다. 연계정보는 본인 확인 기관이 발급하는 고유한 식별 값으로, 서로 다른 서비스에 흩어진 개인정보를 연결하고 식별하는 기준으로 사용됩니다. 연계정보 자체에 이름이나 전화번호, 시청 기록 등이 담긴 것은 아니지만, 다른 개인정보와 결합될 경우 추가적인 정보 식별이나 악용 가능성이 있다는 우려가 나옵니다.
개인정보 보호 위원회도 별도 조사에 착수했습니다. 개인정보 보호법상 안전 조치 의무와 유출 통지 및 신고 의무 준수 여부를 확인하고, 법 위반 사항이 확인되면 관련 법령에 따라 엄정하게 조치할 방침입니다.
이번 사고를 계기로 해당 서비스의 정보 보호 투자와 보안 관리 체계도 점검 대상이 될 전망입니다.
정보 보호 투자액은 2022년 약 22억 원에서 2023년 약 18억 원, 2024년 약 18억 원으로 2년 연속 감소했습니다. 다만 전체 IT 투자 규모가 더 큰 폭으로 줄어들면서 정보 보호 투자 비중은 2024년 기준 6.7%로 전년(3.8%)보다 높아졌습니다.
정보 보호 공시에 따르면 해당 서비스는 정보 보호 최고 책임자와 개인정보 보호 책임자를 겸직 체제로 운영하고 있으며, 해당 직책도 임원급이 아닌 팀장 및 리더급이 맡고 있는 것으로 나타났습니다.
대규모 개인정보 유출 사고가 발생한 만큼 보안 투자 수준은 물론 조직 내 보안 책임성과 관리 체계 전반에 대한 점검이 불가피할 것으로 보입니다.
과학기술정보통신부 관계자는 “전날 오후 늦게 민관 합동 조사단이 구성되어 밤새 조사 작업이 진행됐다”며 “정확한 피해 규모와 조사 범위, 결과를 확정해 발표하기까지는 다소 시간이 필요할 것”이라고 밝혔습니다.