--- title: "티빙 개인정보 유출, 비밀번호보다 더 무서운 건 CI와 DI가 새었다는 점" published: 2026-06-13T01:05:07.537Z canonical: https://jeff.news/article/4119 --- # 티빙 개인정보 유출, 비밀번호보다 더 무서운 건 CI와 DI가 새었다는 점 티빙 개인정보 유출 사고를 두고 국내 플랫폼 보안의 취약함을 지적한 글이다. 특히 이름, 생년월일, 휴대전화번호, 비밀번호뿐 아니라 변경이 어려운 CI와 DI까지 유출됐다는 점에서 2차 피해 위험이 크다고 본다. ## 이번 사고가 찝찝한 이유 - 티빙 개인정보 유출 사고는 단순히 계정 몇 개가 털린 수준으로 보기 어렵다는 게 글의 핵심임 - 사고는 2026년 5월 30일부터 31일 사이 발생했고, 6월 3일 공식 공지됐다고 언급됨 - 신원 미상의 외부 해커가 회원 정보가 저장된 핵심 데이터베이스 서버에 직접 침입한 정황이 나옴 - 해커가 쿼리(Query)를 실행하고 대량의 개인정보 파일을 외부로 전송했다는 설명도 있음 - 유출 항목이 꽤 무겁다. 이메일 정도가 아니라 개인을 오래 따라다니는 값들이 포함됨 - 이름, 생년월일, 성별, 휴대전화번호, 비밀번호가 포함됨 - 환불 계좌번호도 유출 항목에 들어감 - 더 큰 문제로 연계정보(CI)와 중복가입확인정보(DI)까지 한꺼번에 언급됨 > [!WARNING] > 비밀번호는 바꾸면 되지만 CI처럼 사실상 고정 식별자에 가까운 값은 사고 이후에도 오래 남는 리스크가 됨. ## CI와 DI가 왜 더 심각한가 - CI는 기사 표현대로 사실상 디지털 주민등록번호에 가까운 역할을 함 - 주민등록번호에 기반해 암호화된 고유 식별값으로 쓰임 - 온오프라인을 연결하는 식별자로 활용될 수 있음 - 이메일이나 비밀번호처럼 사용자가 쉽게 교체할 수 있는 값이 아님 - 그래서 2차 피해의 질이 달라질 수 있음 - 보이스피싱, 명의도용, 맞춤형 스미싱 같은 범죄에 악용될 가능성이 커짐 - 단순 무작위 피싱보다 사용자의 실제 정보에 맞춘 공격이 더 설득력 있어질 수 있음 - 피해자가 한 번 조심하면 끝나는 문제가 아니라 장기적으로 표적이 될 수 있다는 게 무서운 지점임 ## 대중 반응도 보안 불신 쪽으로 움직임 - 썸트렌드가 6월 1일부터 11일까지 분석한 연관어도 분위기를 보여줌 - 티빙 주변에 개인정보유출, 사고, 보안, 비밀번호, 계정, 회원 같은 키워드가 강하게 붙음 - 원래 드라마, 영화, 오리지널 콘텐츠를 보던 앱이 이제 결제와 계정 안전을 걱정하는 대상으로 바뀐 셈임 - 넷플릭스와 웨이브 같은 키워드도 함께 나타나 소비자가 대체재를 떠올리는 분위기가 보인다고 해석함 - 글은 이 사건을 국내 플랫폼 경제의 보안 부채로 읽음 - 콘텐츠 확장과 회원 유치에는 열심이었지만, 인프라 보안은 충분히 챙기지 못했다는 비판임 - 대기업 계열 플랫폼이라도 기본 보안 수칙이 흔들리면 신뢰는 빠르게 무너질 수 있음 - 서비스가 아무리 좋은 콘텐츠를 내도, 사용자 데이터 안전을 잃으면 플랫폼 기반이 약해진다는 결론임 - 개발자 입장에서는 사고 후 대응보다 사고 전 설계가 더 중요하다는 교훈이 남음 - 핵심 DB 접근 권한이 어떻게 관리됐는지 따져봐야 함 - 쿼리 실행과 대량 반출을 탐지하는 로그와 알림 체계가 있었는지도 중요함 - 민감 식별값을 저장해야 한다면 암호화, 분리 보관, 접근통제, 감사 추적이 기본값이어야 함 --- ## 기술 맥락 - 이 사고에서 중요한 건 비밀번호 유출 여부만이 아니에요. 비밀번호는 바꿀 수 있지만, CI나 DI처럼 개인 식별에 오래 쓰이는 값은 한번 새면 사용자가 직접 회수하기 어렵거든요. - 데이터베이스 서버에 직접 침입해 쿼리를 실행했다는 정황은 접근통제와 감사 체계를 같이 봐야 한다는 뜻이에요. 누가 어떤 권한으로 어떤 테이블을 조회했는지, 평소와 다른 대량 조회를 탐지했는지가 핵심이 돼요. - 환불 계좌번호처럼 금융과 연결될 수 있는 정보가 포함되면 2차 공격의 설득력이 올라가요. 공격자가 이름, 생년월일, 휴대전화번호까지 함께 갖고 있으면 사용자를 속이기 쉬운 맞춤형 메시지를 만들 수 있거든요. - 플랫폼 개발팀 입장에서는 민감정보 저장을 최소화하는 설계가 먼저예요. 꼭 저장해야 하는 값이라면 암호화만 믿지 말고, 접근 권한 분리와 이상 행위 탐지를 같이 둬야 사고 범위를 줄일 수 있어요. ## 핵심 포인트 - 티빙 사고는 핵심 데이터베이스 서버에 외부 해커가 직접 침입해 쿼리를 실행하고 개인정보 파일을 외부로 전송한 정황이 언급됨 - 유출 항목에는 이름, 생년월일, 성별, 휴대전화번호, 비밀번호, 환불 계좌번호, CI, DI가 포함됨 - CI는 사실상 디지털 주민등록번호처럼 쓰이는 고유 식별값이라 이메일이나 비밀번호처럼 쉽게 바꿀 수 없음 - 빅데이터 연관어에서 개인정보유출, 사고, 보안, 비밀번호, 계정, 회원 같은 부정 키워드가 강하게 나타남 ## 인사이트 개발자 관점에서 이 사고의 핵심은 유출 규모보다 어떤 식별자가 새었느냐임. 변경 가능한 인증정보와 변경하기 어려운 고유 식별값은 사고 후 리스크의 수명이 완전히 다름.