2026년 5월 30일 티빙 DB 서버가 직접 침입당해 CI·DI 등 1,300만 명 규모의 개인정보가 유출됐다. 사고 타임라인과 CI 영구 유출의 의미, 과징금·집단소송까지 정리한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 30일 오후 6시 1분, 티빙(TVING)의 데이터베이스 서버 CPU 사용률이 100%까지 치솟았다. 평소 패턴에서 벗어난 이 이상 징후가 사고의 첫 신호였다. 누군가 회원 개인정보가 담긴 DB 서버에 직접 접근해 쿼리를 실행하고 있었다. 국내 가입자 1,300만 명 규모의 개인정보가 빠져나가기 시작한 순간이었다.
티빙은 다음 날인 5월 31일 오후 3시 9분 회원 정보 유출을 확인했고, 6월 3일 공식 공지와 함께 최주희 대표가 사과문을 냈다. "이용자가 믿고 맡긴 정보를 보호하지 못한 점에 대해 전적으로 티빙에 책임이 있다"는 내용이었다. CJ ENM이 운영하는 국내 3위 온라인 동영상 서비스에서 벌어진, 2026년 상반기 최대 규모의 개인정보 유출 사고다.
티빙은 2026년 4월 기준 월간 활성 이용자 약 770만 명으로, 국내 OTT 시장에서 세 번째로 큰 플랫폼이다. 문제의 핵심은 활성 이용자 수가 아니라, 그동안 쌓인 회원 데이터의 총량이었다.
유출된 DB에는 아이디, 이름, 생년월일, 성별, CI, DI, 프로필명, 휴대폰 번호, 이메일, 환불 계좌번호, 비밀번호가 들어 있었다. 이 가운데 휴대폰 번호 마지막 4자리, 이메일의 도메인 앞 아이디 부분, 비밀번호는 암호화된 상태였다. 비밀번호는 원래 값으로 되돌리기 어려운 단방향 방식으로 저장돼 있었다. 다만 이름, 생년월일, 성별, CI, DI 같은 핵심 식별 정보는 그대로 노출됐다.
여기서 1,300만이라는 숫자가 나온다. 현재 유료 가입자만이 아니라 과거 가입 이력이 있는 무료 회원과 오랫동안 접속하지 않은 휴면 회원까지 모두 포함된 규모다. 한 번 가입했던 이용자의 정보가 서비스를 떠난 뒤에도 DB에 남아 있었고, 그 데이터가 통째로 침해 대상이 됐다.
조사 당국이 지금까지 확인한 사실은 침입의 방식이지, 침입의 경로가 아니다. 이 구분이 사고를 이해하는 출발점이다.
공격자는 개인정보가 저장된 DB 서버에 직접 접근해 실제 쿼리를 실행했고, 데이터 파일을 외부로 전송한 정황이 확인됐다. 웹 애플리케이션의 입력창을 거쳐 들어온 흔적이 아니라, 데이터베이스 자체를 직접 다룬 형태다. 비인가자의 내부 시스템 접근과 데이터 조회·수정 명령 실행은 티빙이 KISA에 제출한 신고서에도 명시됐다.
그렇다면 공격자는 어떻게 그 서버까지 도달했을까. 사고 직후 티빙이 취한 조치가 단서를 남겼다. 티빙은 아마존웹서비스(AWS) 액세스 키를 즉시 폐기하고, 깃허브(GitHub)에 하드코딩돼 있던 자격증명을 삭제한 뒤 새 인증 정보로 교체했다. 보안 업계는 인증 정보가 이렇게 한꺼번에 교체된 점을 근거로, 공격자가 소스코드 저장소나 클라우드에 노출된 자격증명으로 접근 권한을 먼저 확보한 뒤 DB에 도달했을 가능성에 주목했다. 사실이라면 침해의 출발점은 DB 자체의 결함이 아니라, 코드와 클라우드에 방치된 열쇠였다는 뜻이 된다. 다만 이는 정황과 업계 분석에 따른 추정이며, 공식 원인은 과학기술정보통신부와 개인정보보호위원회, KISA가 꾸린 민관 합동조사단의 결론을 기다려야 한다.
확인된 것은 시간의 흐름이다. 티빙은 5월 31일 유출을 확인한 뒤 외부 접근 경로를 차단했다. 그리고 6월 1일 오후 3시 8분 당국에 신고를 접수했다. 정보통신망법 시행령은 침해 사고 인지 후 24시간 이내 신고를 의무화한다. 티빙이 인지 시점으로 기재한 5월 31일 오후 3시 9분을 기준으로 하면, 정확히 23시간 59분이 지난 시점이었다. 법정 시한을 1분 남기고 들어온 신고는 이후 늑장 대응 논란의 한 축이 됐다.
이번 유출에서 가장 무거운 항목은 CI와 DI다. CI는 주민등록번호를 대체해 개인마다 고유하게 부여되는 일종의 디지털 식별값으로, 온라인 본인 확인의 기준점 역할을 한다. 여러 사이트에 같은 사람이 흩어져 가입해 있어도 CI 값은 동일하게 부여된다. 그래서 서로 다른 서비스에 남은 같은 사람의 정보를 하나로 꿰는 연결 고리가 된다. DI는 특정 사이트 안에서만 그 사람을 구분하는 값으로, CI에 비해 결합 위력은 약하지만 둘이 함께 빠져나갔다는 점이 이번 유출의 무게를 키웠다.
문제는 CI가 한 번 새어 나가면 사실상 교체나 폐기가 불가능하다는 데 있다. 비밀번호는 바꾸면 되고 계좌는 해지하면 되지만, CI는 그렇지 않다. 영구적으로 한 사람을 가리키는 식별자가 통째로 빠져나간 것이다.
CI 자체만으로 즉시 금전 피해가 생기지는 않는다. 그러나 다른 경로로 유출된 정보와 결합될 때 위험이 커진다. 바로 앞서 말한 CI의 연결 고리 성격 때문이다. 과거 다른 유출 사고에서 이미 빠져나온 이름, 생년월일, 연락처에 이번에 노출된 변하지 않는 식별자가 더해지면, 흩어져 있던 조각들이 한 사람을 가리키며 모인다. 그 결과는 특정 개인을 정확히 겨냥한 표적형 스미싱이나 명의도용의 재료다. 단순한 무작위 스팸이 아니라 "당신"을 알고 접근하는 사기로 이어질 수 있다는 의미다.
법적 후폭풍도 빠르게 번졌다. 현행 개인정보보호법은 위반 시 전체 매출의 최대 3% 이내에서 과징금을 부과할 수 있는데, 이 기준을 적용하면 티빙에 최대 약 121억 원의 과징금이 부과될 수 있다는 추정이 나온다. 집단소송도 동시에 진행 중이다. 법무법인 세담에는 6월 중순 기준 5만 6,300여 명이 소송 참여 신청서를 접수했고, 법무법인 지향은 이용자 1,051명을 대리해 1인당 30만 원의 손해배상을 청구했다. 이용자 탈퇴 움직임도 확산됐다.
티빙 사고는 한국에서 반복돼 온 대형 유출의 연장선에 있다. 5월 30일 그날, 공격자가 웹 입력창을 우회해 DB 서버를 직접 다뤘다는 사실이 가리키는 것은 분명하다. 한 번 쌓인 대규모 회원 DB는 그 자체로 거대한 표적이 된다는 점이다. 앞서 SK텔레콤 2324만명 유심 침해와 쿠팡 해킹이 보여준 것처럼, 가입자가 많을수록, 데이터를 오래 보관할수록 한 번의 침해가 미치는 범위도 넓어진다.
특히 클라우드와 소스코드에 방치된 인증 정보가 침입의 열쇠로 지목된 대목은, 퇴직자의 JWT 키 한 개로 5개월간 뚫린 쿠팡 사례와 닮았다. 정작 뚫린 곳은 DB였지만, 문을 열어준 것은 코드와 클라우드에 남아 있던 자격증명이었다는 의심이다. 데이터를 지키는 일이 데이터베이스만의 문제가 아님을 보여주는 지점이다.
이번 사고가 특히 드러낸 지점은 두 가지다. 첫째는 휴면·탈퇴 회원 데이터의 보존 문제다. 1,300만이라는 숫자가 가능했던 이유는 떠난 이용자의 정보까지 DB에 남아 있었기 때문이다. 더는 서비스를 쓰지 않는 사람의 데이터가 위험만 남긴 채 보관돼 있었다는 사실은, 활성 이용자 770만이라는 규모보다 훨씬 큰 피해 면적을 만들었다.
둘째는 식별 정보의 비가역성이다. 사랑의열매 유출 사고에서 주민등록번호가 그랬듯, 한 번 새어 나가면 되돌릴 수 없는 정보가 존재한다. CI는 그 대표적 사례다. 패스워드 변경이나 계좌 해지로 봉합되지 않는 유출은, 사고가 종료된 뒤에도 피해 가능성이 오래 남는다는 점에서 일반적인 정보 유출과 무게가 다르다.
신고 시점을 둘러싼 논란도 시사적이다. 티빙은 법이 정한 24시간 시한을 어기지 않았다. 그러나 시한을 1분 남기고 들어온 신고는 법적 의무 이행과 이용자 신뢰 사이의 간극을 보여줬다. 사고 자체만큼이나, 사고 이후 기업이 얼마나 빠르고 투명하게 움직였는가가 평가의 대상이 되는 시대라는 점을 이 1분이 압축해 드러냈다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.