시사/사회 · 목록 바로가기

티빙 개인정보 유출 정리, CI·DI까지 털린 사고가 반복되는 이유

형성하다2026. 6. 15. 06:24
목록으로
티빙 개인정보 유출은 이용자에게 “비밀번호를 바꾸라”고 말하고 끝낼 문제가 아니다. 문제의 중심에는 개인정보를 사업 자산으로 쌓아두고, 연결하고, 분석하고, 돈벌이에 활용해 온 플랫폼 기업의 구조가 있다.

티빙 개인정보 유출, 무엇이 드러났나

티빙(TVING) 개인정보 유출 사고는 2026년 6월 초 공식화됐다. 티빙은 개인정보가 저장된 데이터베이스(DB)에 비인가 접근이 있었고, 개인정보 파일이 외부로 전송된 정황을 확인했다고 밝혔다. 개인정보보호위원회도 신고를 접수하고 조사에 들어갔다.

현재까지 알려진 유출 추정 항목은 가볍지 않다. 아이디, 이름, 생년월일, 성별, CI, DI, 휴대전화번호, 이메일, 환불 계좌번호, 비밀번호, 서비스 이용 관련 정보 등이 거론됐다. 일부 항목은 암호화되어 있었다고 하지만, 여기서 중요한 것은 암호화라는 단어가 아니라 왜 이런 정보들이 한 플랫폼 안에 이렇게 많이 쌓여 있었느냐는 질문이다.

핵심은 “무엇이 털렸나”보다 “왜 그렇게 많이 들고 있었나”다

개인정보 유출 보도는 대개 이름, 전화번호, 이메일, 비밀번호 같은 항목을 나열한다. 그러나 더 중요한 질문은 따로 있다. OTT 서비스가 콘텐츠 시청을 제공하면서 왜 본인확인 식별값, 환불 계좌, 접속 정보, 서비스 이용 정보를 오래 붙잡고 있었는가. 기업은 이 정보를 단순 보관물이 아니라 고객 분석, 결제 관리, 구독 유지, 추천, 마케팅, 제휴 확장의 재료로 삼아왔다.

티빙은 단순한 동영상 앱이 아니다. 이제 OTT는 계정, 결제, 본인확인, 시청 기록, 접속 기기, 프로필, 구독 이력, 취향 데이터를 모으는 생활 플랫폼이다. 이용자는 드라마 한 편을 보기 위해 가입했지만, 플랫폼은 그 이용자를 하나의 데이터 묶음으로 관리한다. 이번 사고는 바로 그 묶음이 외부로 새어 나간 사건이다.

CI·DI 유출이 불편한 이유

이번 티빙 사고에서 특히 눈에 띄는 항목은 CI와 DI다. CI는 연계정보, DI는 중복가입 확인정보다. 쉽게 말하면 온라인 서비스에서 같은 사람인지, 같은 서비스 안에서 중복 가입자인지 확인하는 데 쓰이는 식별값이다.

전화번호와 이메일은 바꿀 수 있다. 비밀번호도 바꿀 수 있다. 그러나 CI처럼 본인확인 체계와 연결된 식별값은 이용자가 마음대로 바꾸기 어렵다. 그래서 더 불편하다. 이 값 하나가 곧바로 모든 피해를 만든다고 단정할 수는 없지만, 여러 곳에서 흩어진 정보가 결합될 때 개인을 더 정확하게 특정하는 재료가 될 수 있다.

기업은 이런 식별값을 편의의 언어로 설명한다. 본인확인을 쉽게 하고, 중복 가입을 막고, 서비스 운영을 효율화하기 위한 장치라는 것이다. 그러나 이용자 입장에서 보면 다르다. 내가 통제할 수 없는 식별값이 여러 서비스의 뒤편에서 나를 따라다니고, 그 값이 한 번 새면 어디까지 결합될지 알 수 없다. 이것은 개인의 불안이 아니라 구조의 위험이다.

최근 몇 년 개인정보 유출 사건은 어디까지 왔나

티빙 사고가 더 무겁게 느껴지는 이유는 앞선 사건들이 이미 너무 많았기 때문이다. 기업 이름은 달랐지만 흐름은 비슷했다. 데이터는 쌓였고, 사고는 터졌고, 기업은 사과했고, 정부는 과징금을 부과했다. 그러나 개인정보를 수익 자산처럼 다루는 구조는 크게 바뀌지 않았다.

2023년

LG유플러스 개인정보 유출
LG유플러스는 고객 개인정보 유출 사고를 겪었다. 이름, 휴대전화번호, 주소, 생년월일, 이메일, 아이디, 유심 관련 정보 등이 거론됐다. 개인정보보호위원회는 과징금과 과태료, 시정명령을 내렸다. 이 사건은 통신사가 단순 요금 청구 회사가 아니라 본인확인과 인증 체계의 핵심 데이터를 들고 있는 사업자라는 사실을 드러냈다.

2023~2026년

카카오 오픈채팅 개인정보 유출 논란
카카오 오픈채팅 사건은 정보 결합의 위험을 보여줬다. 하나의 정보만 놓고 보면 개인을 특정하기 어렵다고 해도, 다른 값과 결합되면 개인을 식별할 수 있는 정보가 된다. 개인정보보호위원회는 카카오에 과징금을 부과했고, 카카오는 이에 불복해 소송을 제기했다. 법적 다툼의 핵심도 결국 “어디까지가 개인정보인가”라는 문제였다.

2024~2025년

골프존 개인정보 유출
골프존 사건은 오래 보관된 정보와 서버 관리의 문제가 결합된 사례다. 랜섬웨어 공격으로 회원 개인정보가 유출됐고, 개인정보보호위원회는 과징금과 시정명령을 의결했다. 여기서도 핵심은 해커의 존재만이 아니다. 왜 보관 기간이 지난 정보가 남아 있었는지, 왜 민감한 정보가 충분히 분리되지 않았는지, 왜 사고가 나기 전까지 그 위험이 정리되지 않았는지가 문제였다.

2025년

SK텔레콤 유심 정보 유출
SKT 사건은 개인정보 유출을 넘어 통신 인증 신뢰를 흔든 사건이었다. 개인정보보호위원회는 약 2,300여만 명의 주요 디지털 개인정보, 특히 유심 정보 등이 유출됐다고 판단했고, 1천억 원대 과징금을 부과했다. 유심은 단순한 회원정보가 아니다. 휴대전화 인증, 통신망 접속, 계정 복구와 연결되는 기반이다. 이 사건은 통신사가 가진 데이터가 개인의 생활 전체와 얼마나 깊게 연결되어 있는지 보여줬다.

2025~2026년

쿠팡 개인정보 유출
쿠팡 사건은 생활공간의 정보가 얼마나 많이 기업에 쌓여 있는지 보여줬다. 이름, 전화번호, 이메일, 배송지 주소, 일부 주문정보가 거론됐고, 이후 개인정보보호위원회는 대규모 과징금 처분을 내렸다. 쿠팡의 문제는 단순히 쇼핑몰 계정이 털렸다는 수준이 아니었다. 배송지, 공동현관, 주문 이력, 온라인 활동기록처럼 생활의 동선과 소비의 흔적이 기업 내부에 얼마나 촘촘히 쌓여 있었는지가 드러났다.

2026년

티빙 개인정보 유출
티빙 사고는 OTT도 더 이상 가벼운 콘텐츠 앱이 아니라는 사실을 보여준다. 콘텐츠 시청 플랫폼은 이용자의 취향, 구독, 결제, 접속 기기, 본인확인 정보까지 들고 있다. 기업은 이 정보를 추천과 구독 유지, 마케팅, 제휴 사업에 활용한다. 사고가 나면 그동안 사업의 재료였던 정보가 이용자의 위험으로 돌아온다.

문제는 개인의 부주의가 아니다

개인정보 유출 사고가 날 때마다 기업과 기관은 비슷한 말을 한다. 비밀번호를 바꾸라, 의심 문자를 조심하라, 공식 홈페이지에서 확인하라. 물론 피해를 줄이기 위한 안내는 필요할 수 있다. 그러나 그 말이 글의 중심이 되면 책임의 방향이 바뀐다. 사고를 낸 쪽은 기업인데, 방어해야 하는 사람은 개인이 된다.

이 구조가 가장 나쁘다. 개인정보를 모은 것은 기업이다. 그 정보를 사업에 활용한 것도 기업이다. DB를 관리한 것도 기업이고, 접근 권한을 설계한 것도 기업이다. 그런데 사고가 나면 이용자는 비밀번호를 바꾸고, 문자를 의심하고, 본인인증 기록을 확인해야 한다. 기업의 수익 구조가 만든 위험이 개인의 생활노동으로 전가된다.

개인정보 유출 사고의 본질은 “이용자가 조심하지 않았다”가 아니다. 본질은 기업이 개인정보를 돈 되는 자산으로 쌓아두고, 그 자산을 지킬 비용은 뒤로 미뤘다는 데 있다.

이용자는 서비스를 쓰기 위해 약관에 동의한다. 그러나 그 동의는 진짜 협상이라고 보기 어렵다. 약관을 거부하면 서비스를 못 쓴다. 배송을 받으려면 주소를 줘야 하고, 결제를 하려면 결제 정보를 줘야 하고, 본인확인을 하려면 식별값을 맡겨야 한다. 이용자는 선택한 것처럼 보이지만, 실제로는 생활에 필요한 서비스를 쓰기 위해 정보를 내놓는 구조 안에 있다.

기업은 왜 개인정보를 계속 모으나

기업이 개인정보를 모으는 이유는 단순한 회원 관리 때문만이 아니다. 개인정보는 현대 플랫폼 사업의 원료다. 누가 가입했는지, 어떤 기기로 접속하는지, 무엇을 봤는지, 무엇을 샀는지, 언제 이탈하는지, 어떤 광고에 반응하는지, 어떤 요금제를 유지하는지 모두 돈과 연결된다.

구독을 유지하기 위해 모은다

OTT는 이용자가 어떤 콘텐츠를 보는지, 어느 시점에 멈추는지, 어떤 장르를 반복해서 보는지, 가족 계정인지 개인 계정인지 알고 싶어 한다. 그래야 추천을 하고, 이탈을 예측하고, 다음 결제를 붙잡을 수 있다. 이 정보는 단순한 편의 기능이 아니다. 구독 경제의 매출 방어 장치다.

광고와 제휴를 위해 모은다

플랫폼은 이용자를 더 잘게 나눌수록 더 정교한 광고와 제휴 상품을 만들 수 있다. 나이, 성별, 지역, 이용 시간, 소비 성향, 콘텐츠 취향, 결제 이력은 기업 입장에서 상품이 된다. 기업은 개인정보를 팔지 않는다고 말할 수 있다. 그러나 직접 판매하지 않아도 개인정보에서 나온 분석값과 타깃팅 능력은 수익으로 바뀐다.

다른 서비스와 연결하기 위해 모은다

간편 로그인, 멤버십, 포인트, 결제, 배송, 인증, 제휴 혜택은 모두 연결을 필요로 한다. 연결이 많아질수록 기업은 이용자를 더 오래 붙잡을 수 있다. 그러나 연결이 많아질수록 사고가 났을 때 피해도 넓어진다. 한 서비스의 유출이 다른 서비스의 위험으로 번질 수 있기 때문이다.

“암호화했다”는 말로 끝낼 수 없는 이유

기업은 사고가 나면 일부 항목은 암호화되어 있었다고 설명한다. 물론 암호화는 중요하다. 그러나 암호화라는 단어 하나로 책임이 사라지지는 않는다. 중요한 것은 어떤 정보가 왜 수집됐고, 얼마나 오래 보관됐고, 누가 접근할 수 있었고, 어떤 방식으로 외부 전송이 가능했느냐다.

또한 개인정보의 위험은 단일 항목만으로 판단할 수 없다. 이름 하나만으로는 부족할 수 있다. 이메일 하나만으로도 부족할 수 있다. 그러나 이름, 생년월일, 전화번호, 이메일, CI·DI, 접속 기록, 결제 관련 정보가 함께 있으면 이야기가 달라진다. 개인정보는 조각으로 있을 때보다 결합될 때 더 위험해진다.

기업은 “직접적인 금융 피해는 확인되지 않았다”고 말할 수 있다. 그러나 개인정보 유출의 피해는 늘 즉시 보이는 방식으로만 오지 않는다. 유출된 정보는 사라지지 않고, 시간이 지나 다른 유출 정보와 결합될 수 있다. 그래서 개인정보 사고는 사고 당일의 피해보다 이후의 결합 가능성이 더 무섭다.

과징금은 커졌지만 구조는 왜 바뀌지 않나

최근 개인정보 유출 사고에 대한 과징금은 커지고 있다. SKT에는 1천억 원대 과징금이 부과됐고, 쿠팡에는 6천억 원대 과징금 처분이 내려졌다. 숫자만 보면 처벌은 강해진 것처럼 보인다. 그러나 사고는 계속 반복된다.

이유는 분명하다. 과징금은 사고 뒤의 비용이다. 기업이 사고 전부터 개인정보를 적게 모으고, 빨리 지우고, 접근 권한을 좁히고, 외부 전송을 막는 구조로 바꾸지 않으면 과징금은 사후 정산에 그친다. 기업은 사고가 나지 않으면 데이터의 이익을 누리고, 사고가 나면 과징금을 비용으로 처리한다. 이 구조에서는 개인정보가 계속 기업의 자산처럼 취급된다.

진짜 규제는 과징금 숫자만 키우는 것이 아니다. 기업이 개인정보를 많이 들고 있는 것 자체를 부담으로 느끼게 만들어야 한다. 필요 없는 정보는 수집하지 못하게 하고, 목적이 끝난 정보는 지우게 하고, 식별값은 분리하게 하고, 민감한 정보에 접근한 기록은 실시간으로 추적하게 해야 한다. 개인정보를 오래 들고 있을수록 위험과 책임이 커지는 구조가 되어야 한다.

개인정보는 기업의 원유가 아니라 사람의 생활이다

디지털 산업은 자주 데이터를 원유에 비유한다. 그러나 개인정보를 원유라고 부르는 순간 문제가 생긴다. 원유는 캐내고, 저장하고, 정제하고, 팔 수 있는 자원이다. 개인정보는 그런 식으로 다뤄서는 안 된다. 이름, 전화번호, 주소, 배송지, 계정, 본인확인 값, 시청 기록, 주문정보는 사람의 생활에서 나온 흔적이다.

기업은 이 흔적을 돈으로 바꾼다. 추천 정확도를 높이고, 광고 효율을 높이고, 고객 이탈을 줄이고, 제휴 상품을 설계하고, 구독을 유지한다. 그 과정에서 개인정보는 기업의 성장 언어 속으로 들어간다. 데이터 기반 경영, 맞춤형 서비스, 고객 경험 개선, 개인화 추천이라는 말은 그럴듯하다. 그러나 그 말의 뒤에는 개인의 생활 정보가 있다.

문제는 수익은 기업이 가져가고, 사고의 불안은 개인에게 돌아간다는 점이다. 기업은 개인정보로 돈을 벌지만, 유출 뒤 이용자가 겪는 불안과 시간 비용은 계산서에 잘 올라오지 않는다. 이것이 반복되는 개인정보 유출 사고의 핵심 구조다.

이번 티빙 사고가 남긴 질문

티빙 사고는 OTT 하나가 뚫린 사건이 아니다. SKT, 쿠팡, 카카오, LG유플러스, 골프존, 롯데카드로 이어진 흐름 속에서 봐야 한다. 통신사는 인증 정보를, 쇼핑몰은 배송지와 주문정보를, 카드사는 금융 정보를, 메신저는 관계의 흔적을, OTT는 시청과 구독 정보를 들고 있다.

이 기업들은 모두 생활 플랫폼이 되었다. 플랫폼이 된다는 것은 사람들의 생활을 통과한다는 뜻이다. 통과한다는 것은 정보를 얻는다는 뜻이다. 그리고 정보를 얻는다는 것은 책임을 진다는 뜻이어야 한다. 그러나 지금까지의 현실은 반대에 가까웠다. 정보는 기업이 모으고, 수익은 기업이 만들고, 사고가 나면 이용자에게 조심하라고 말한다.

그래서 이번 글의 결론은 개인에게 주의를 당부하는 것이 아니다. 개인은 이미 너무 많은 주의를 요구받고 있다. 진짜 질문은 기업과 제도에 향해야 한다. 왜 그렇게 많은 정보를 모았나. 왜 그렇게 오래 보관했나. 왜 그렇게 많은 시스템과 연결했나. 왜 사고가 나기 전에는 줄이지 않았나. 왜 유출 뒤에도 책임은 개인의 불안으로 남는가.

개인정보 보호는 이용자의 생활수칙이 아니다. 기업의 수익 모델을 어디까지 허용할 것인가의 문제다. 개인정보를 돈벌이의 원료로 삼는 산업 구조를 그대로 두고, 이용자에게만 조심하라고 말하는 것은 문제를 거꾸로 보는 것이다. 이번 티빙 사고가 남긴 핵심은 바로 여기에 있다. 개인정보는 기업의 자산이 아니라 사람의 생활이다.

함께 읽을 글