“또 개인정보 유출”…통신사 보상 이용자, 티빙서 또 털렸다

[한국금융신문 정채윤 기자] 최근 국내 토종 온라인동영상서비스(OTT) 플랫폼 티빙에서 대규모 개인정보 유출 사고가 발생하면서, 지난해 KT 해킹 사태 이후 보상 프로그램을 통해 유입된 이용자들이 연쇄 피해를 입는 초유의 사태가 벌어졌다. 한국프로야구(KBO) 흥행 속에 최근 2년간 보안 투자를 절반가량 줄인 경영 전략이 도마 위에 오른 가운데, 결합 상품을 운영하던 통신·커머스 제휴 생태계 전반으로 가입자 이탈 우려가 확산하고 있다.

보상이 재앙으로

9일 통신・정보기술(IT) 업계에 따르면 티빙은 최근 이용자 개인정보가 저장된 데이터베이스(DB)에 비인가 접근이 발생한 사실을 인지하고, 홈페이지를 통해 공식 사과문과 함께 유출 사실을 공지했다.
유출된 항목은 회원 아이디, 이름, 생년월일, 성별, 전화번호, 이메일 주소, 비밀번호, 연계정보(CI)와 중복가입확인정보(DI) 등이다. 연계정보와 중복가입 확인정보는 본인 인증 과정에서 주민등록번호 대신 온라인에서 쓰는 정보다. 이용자를 식별하는 정보까지 함께 유출된 것이다. 다만 주민등록번호와 결제 관련 정보는 유출되지 않았다고 티빙은 설명했다.

최주희 티빙 대표는 사과문을 통해 “이용자 여러분께서 믿고 맡겨주신 정보를 지키지 못했다. 그 책임은 전적으로 티빙에 있다”며 “현재 정부 및 관계 기관 조사에 성실히 협조하고 있으며 진행 상황과 후속 조치를 투명하게 공개하겠다”고 밝혔다.

이 소식이 전해지자 온라인 커뮤니티와 사회관계망서비스(SNS)는 KT 가입자 항의가 빗발쳤다. 한 티빙 회원은 “대기업 KT를 믿고 보상으로 받은 서비스인데, 또 개인정보 유출 문자를 받으니 황당하다”고 토로했다.

앞서 KT는 2025년 대규모 무단 소액결제 및 침해 사고를 일으키며 고개를 숙인 바 있다. KT 사고에서 유출된 정보는 가입자식별번호(IMSI), 전화번호, 단말기식별번호(IMEI) 등 통신 가입자 정보였다.

당시 KT는 가입자 이탈을 막고 피해를 보상하기 위해 올해 2월 ‘고객 보답 프로그램’을 시행했고, 피해자들에게 티빙 또는 디즈니플러스 6개월 이용권을 지급했다.
KT 보상 이용자가 티빙을 선택하면 문자로 받은 이용권을 티빙 웹에서 직접 등록해야 했다. 이 과정에서 이용자는 티빙 계정에 이용권을 연결하는 과정을 거쳤는데, 불과 4개월 만데 그 티빙 계정 정보가 다시 한번 유출된 것이다.

KT 관계자는 “별도의 응용프로그램인터페이스(API) 정보 연동으로 인한 고객 정보 유출은 없다”며 “고객별 정보 유출 여부는 티빙에서 직접 문자·메일을 통해 순차적으로 안내드리고 있다”고 설명했다.

숫자로 드러난 보안 투자 축소

IT업계에서는 이번 유출 사고를 두고 경영 효율성 극대화와 가입자 우상향 흐름에만 치중했던 티빙의 비대칭적 성장 전략이 부른 재앙이라는 지적이 나온다.

티빙은 가입자 확보를 위해 연평균 450억 원 규모의 막대한 중계권료를 지급하며 KBO 리그 유무선 중계권 사업을 확보했다. 이후 역대급 야구 흥행에 힘입어 티빙 월간활성이용자수(MAU)는 급증했다. 모바일인덱스에 따르면 올해 5월 기준 티빙 MAU는 882만 명 대를 기록, 전월 771만 명 대비 14.4% 증가한 수치를 기록했다.

그러나 외형 성장 이면에는 매년 축소된 보안 인프라 투자라는 부실한 내실이 자리 잡고 있었다는 지적이 나온다. 지난 4일 한국인터넷진흥원(KISA) 정보보호공시에 따르면, 최근 2년간 티빙의 IT 및 정보보호 부문 투자 규모는 지속적인 감소세를 기록했다.

2024년 말 기준 티빙의 정보기술부문 투자액은 약 263억 원으로, 전년(약 488억 원) 대비 45% 급감했다. 기술 부문 투자에 포함되는 정보보호 부문 투자액 역시 2023년 18억 원에서 2024년 17억 원으로 줄어들며 고착화된 정체 상태를 보였다.

특히 정보보호 투자 감소세가 최주희 대표 재임 기간과 맞물린다는 점은 뼈아픈 대목이다. 최주희 대표 취임 전인 2022년과 비교하면 후퇴 양상은 더욱 두드러진다. 2022년 당시 티빙의 정보기술 부문 투자액은 418억 원이었으며, 이 중 정보보호 부문 투자액은 21억 원으로 전체 기술 투자 중 5.2%의 비중을 차지했다.

반면 최주희 대표 취임 첫해인 2023년에는 이 비중이 3.8%로 하락했다. 매년 450억 원에 달하는 비용을 KBO 중계권 등 마케팅과 가입자 유치에 쏟아부으면서도, 정작 가입자의 자산을 지킬 보안 예산은 우선순위에서 밀려났다는 비판을 피하기 어렵게 됐다.

연계상품 타고 번지는 소비자 불안감

내실이 다져지지 않은 상태에서 무리하게 확장한 ‘제휴 생태계’는 결국 리스크 가중 경로가 됐다. 티빙의 이번 보안 사고는 단일 플랫폼 위기를 넘어, 국내 IT·유통 업계 전반으로 확산한 ‘제휴 생태계’ 전체를 위축시키는 요인으로 부상하고 있다.

현재 티빙은 SK텔레콤・KT・LG유플러스 등 이동통신 3사를 비롯해 배달의민족(배민클럽+티빙), SSG닷컴(쓱세븐클럽+티빙) 등 주요 커머스 및 통신 플랫폼과 결합상품을 광범위하게 운영 중이다. 별도 구독 대비 저렴한 가격을 무기로 가입자를 모으는 방식이다.

티빙은 제휴사 고객 정보를 보관하거나 관리하지 않기 때문에, 이번 사고로 제휴사의 회원 데이터가 직접적으로 유출된 것은 아닌 것으로 알려졌다.

다만 결합상품 이용자가 티빙 콘텐츠 이용 과정에서 별도 회원가입이나 로그인 인증을 거쳤을 경우, 이때 입력된 정보는 티빙 시스템에 저장되기 때문에 유출 범위에 포함될 수 있다.

제휴사들은 이번 티빙 개인정보 유출 사고와 관련해 일제히 선을 긋고 있다. 배달의민족과 SSG닷컴, KT 등은 “제휴에 필요한 최소한의 API 정보만 연동하고 있어 제휴사 회원정보가 유출된 것은 아니다”라며 진화에 나섰다.

하지만 전문가들은 소비자가 결합상품을 하나의 통합된 서비스로 인식하는 경향이 강하기 때문에, 기술적 책임 소재와 무관하게 제휴 브랜드 전반의 신뢰도 저하가 불가피하다고 지적한다. OTT 서비스 특성상 대체재가 풍부하기 때문에, 플랫폼의 도덕성과 신뢰도에 타격을 입은 이용자들이 대거 이탈할 수 있기 때문이다.

플랫폼 업계는 이번 사태가 가입자 이탈 및 대규모 멤버십 해지 사태로 이어질지 예의주시하고 있다. 앞서 SK텔레콤이 지난해 대규모 해킹 사태 이후 한 달 만에 가입자 40만 명 이상이 이탈한 선례가 있으며, 쿠팡 역시 개인정보 유출 여파에 따른 소비자 보상 비용 등이 반영되며 올해 1분기 영업적자로 돌아선 바 있다.

정채윤 한국금융신문 기자 chaeyun@fntimes.com