23일 울산시와 울산시사이버침해대응센터에 따르면 이달 OTT 플랫폼 서비스인 티빙 이용자 정보 유출 과정에서 아이디·이름·생년월일·성별 뿐 아니라 본인 확인용 연계정보(CI·Connecting Information) 값도 노출되며 계정 탈취 등 2차 피해 우려가 제기되고 있다.
만약 악용된다면 불특정 다수가 스미싱·명의도용 등 ‘타깃형 범죄’에 노출될 수 있는 것이다.
이에 시사이버침해대응센터는 지난주부터 5개 구·군 등에 ‘CI값 대량 유출에 따른 긴급 보안조치 권고’ 공문을 발송하고 관련 시스템 운영 현황과 보안 위험 요소를 긴급 점검하도록 요청했다.
공문에는 CI 정보를 활용한 본인 인증 기능을 임시 중단하고, 동일 이용자에 대한 다수의 본인 인증 시도 등 이상 징후가 발생할 경우 지속적인 모니터링과 보안 조치를 강화할 것을 권고하는 내용이 담겼다.
이에 따라 중구·남구·동구·북구·울주군은 지난 16~17일부터 각 긴급 자체점검을 진행 중이다.
시사이버침해대응센터 관계자는 “다행히 현재까지 울산 내 큰 위협 사항은 없으며, 매일 유선전화·이메일 등을 통해 지역 공공기관과 즉시 대응 체계를 유지하고 있다”라며 “기한은 관련 보안 이슈가 완전히 해소될 때까지이며, 지속적으로 상황을 모니터링 중”이라고 말했다.
전문가들은 계정 연동에 활용되는 식별정보까지 유출되고 있다는 점에서 DB 접근 통제 등 대응 강화가 필요하다고 조언한다.
김종면 울산대학교 SW중심대학사업단장은 “가장 우려되는 피해는 연계정보(CI)와 중복가입확인정보(DI) 유출이다. CI는 주민등록번호를 대체하는 ‘온라인 주민번호’격 고유 식별값으로, 한 번 유출 시 위험이 사실상 영구적이기 때문”이라며 “또 암호화된 상태로 저장된 정보라도 복호화될 가능성을 완전히 배제하기 어렵다”라고 진단했다.
이어 그는 “기업과 지자체 등에서 DB 접근 통제와 이상 징후 모니터링 상시화, 사고 대응 체계를 갖추는 대책 마련이 필수적이다. 다시 말해 본인 확인·계정 연동용 식별정보를 검증 직후 폐기하거나 접근이 통제된 별도망에 암호화해 격리 보관해야 한다는 것”이라며 “시민들도 개인정보보호포털 등을 통해 개인정보 노출 여부를 수시로 점검하는 등 스스로 보안 의식을 높일 필요가 있다”고 전했다.