이번 티빙 사고에서 진짜 위험한 항목은 비밀번호가 아닙니다.
바꿀 수 없는 정보가 나갔고, 그게 이름·생년월일·전화번호와 세트로 묶였습니다.
비밀번호 변경만 하고 넘어가셨다면, 이 글에서 나머지 네 가지 조치를 확인해 두시길 권합니다.
안심하고 앱 껐다면, 다시 켜 보세요
2026년 6월 3일 새벽, 티빙 앱을 열었다가 팝업 하나를 본 분들이 많으실 겁니다.
"개인정보가 유출됐습니다. 비밀번호를 변경해 주세요."
공지를 읽고 비밀번호 바꾼 뒤 앱을 껐다면, 딱 절반만 한 겁니다.
티빙 공지 어디에도 크게 쓰여 있지 않지만, 이번에 빠져나간 항목 중에는 한 번 유출되면 평생 바꿀 수 없는 정보가 있습니다.
"주민번호 없으니 괜찮다"는 말, 어디까지 믿어야 하나
티빙은 공지에서 주민등록번호와 결제 정보는 유출되지 않았다고 밝혔습니다.
사실입니다. 티빙은 애초에 주민번호를 보유하지 않습니다.
그런데 유출 항목 목록을 다시 보면 얘기가 달라집니다.
| 유출 항목 | 암호화 여부 |
|---|---|
| 아이디 | 평문 |
| 이름 | 평문 |
| 생년월일 | 평문 |
| 성별 | 평문 |
| CI (연계정보) | 평문 |
| DI (중복가입확인정보) | 평문 |
| 휴대폰 번호 | 마지막 4자리만 암호화 |
| 이메일 | 도메인 제외 앞부분 암호화 |
| 환불 계좌번호 | 암호화 |
| 비밀번호 | 단방향 암호화 |
비밀번호는 단방향 암호화로 나갔습니다. 원칙적으로 복호화가 어렵습니다. 그런데 이름·생년월일·성별·CI는 그냥 나갔습니다.
CI가 뭔지 모르면 2차 피해를 막을 수 없습니다
CI는 연계정보(Connecting Information)의 약자입니다.
주민등록번호를 기반으로 만든 88바이트짜리 암호화 식별값인데, 온라인 세계에서 "이 사람과 저 사람이 같은 사람"임을 확인하는 데 씁니다.
금융기관, 통신사, 공공기관이 서비스 간 본인 확인을 할 때 주민번호 대신 쓰는 코드입니다.
2014년 개인정보보호법 개정으로 일반 기업이 주민번호를 수집·보관할 수 없게 되면서 도입된 대체 수단입니다.
문제는 CI 하나만으로는 큰일이 없어도, 조각들이 모이면 달라진다는 겁니다.
이번에 이름·생년월일·성별·전화번호가 함께 나갔습니다.
보안 전문가들이 "정보 결합 시 명의 도용에 악용될 수 있다"고 경고하는 이유가 여기 있습니다.
비밀번호는 바꾸면 무력화됩니다.
CI는 바꿀 수 없습니다.
유출된 항목 중 가장 오래 유효한 위험이 CI라는 게 핵심입니다.
지금 당장 해야 할 5가지 조치
순서대로 하시면 됩니다.
1단계 — 티빙 비밀번호 변경
티빙 앱 또는 홈페이지 → 마이페이지 → 비밀번호 변경. 기존과 다른 조합으로 설정하세요.
2단계 — 같은 비밀번호 쓰는 모든 서비스 변경
이게 실제로 더 급합니다.
포털, 인터넷뱅킹, 쇼핑몰 중 티빙과 같은 아이디·비밀번호 조합을 쓰는 곳이 있다면 전부 변경 대상입니다.
탈취된 계정 정보로 다른 서비스 로그인을 시도하는 크리덴셜 스터핑 공격이 통상적인 2차 피해 경로입니다.
3단계 — 피싱·스미싱 경계 유지
이름, 생년월일, 전화번호가 유출된 상태에서 "고객님, 본인 확인이 필요합니다"류의 접근이 올 수 있습니다.
출처 불분명 링크는 클릭하지 마시고, 전화로 인증번호나 개인정보를 요구하면 바로 끊으시면 됩니다.
4단계 — 티빙 고객센터 접수
- 전화: 1551-2391
- 이메일: tving@cj.net
피해가 의심될 경우 접수 후 개별 안내 방식으로 진행됩니다.
5단계 — 명의 도용 여부 별도 확인
한국인터넷진흥원(KISA) 개인정보 침해신고센터 국번 없이 118, 또는 엠세이퍼(msafer.or.kr)에서 내 명의로 개통된 회선이나 가입 서비스가 있는지 조회해 보시길 권합니다.
이번이 처음이 아니었습니다
사실 이번 사고가 티빙의 첫 번째 보안 위협은 아니었습니다.
2025년 12월 19일, 티빙은 타 사이트에서 유출된 계정 정보로 로그인을 시도하는 크리덴셜 스터핑 공격을 탐지하고 공지를 올렸습니다.
당시엔 실제 유출은 없다고 밝혔지만, DB를 직접 겨냥한 공격에 대한 대비가 충분했는지는 이번 결과가 말해주고 있습니다.
현재 정부 대응도 빠르게 움직이고 있습니다.
과기부는 민관합동조사단을 꾸려 원인과 피해 범위를 파악 중이고, 개인정보보호위원회는 법 위반 사항이 확인되면 엄정 처분하겠다는 입장입니다.
방송미디어통신위원회는 6월 4일부터 티빙 본사에서 CI 안전조치 관리 실태를 직접 점검하고 있습니다.
결과가 나오기까지는 시간이 걸립니다.
그 전까지 스스로 지킬 수 있는 건 먼저 해두는 게 맞습니다.
📝 오늘의 3줄 요약
- 티빙에서 아이디·이름·생년월일·성별·CI가 평문으로 유출됐습니다
- CI는 바꿀 수 없는 식별값이고, 다른 정보와 결합되면 명의 도용에 악용될 수 있습니다
- 비밀번호 변경 외에 크리덴셜 스터핑 대비·엠세이퍼 명의 조회까지 5단계를 모두 해두셔야 합니다
결국 핵심은 하나로 좁혀집니다.
비밀번호는 나중에 바꿀 수 있지만, 이미 나간 CI와 이름과 생년월일은 회수가 안 됩니다.
지금 할 수 있는 건 2차 피해를 막는 것뿐이고, 그 창은 생각보다 짧습니다.
개인 상황에 따라 피해 양상이 달라질 수 있습니다.
명의 도용이나 금융 피해가 의심된다면 반드시 118 또는 금융감독원(1332)에 별도로 문의하시길 권합니다.
❓ 자주 묻는 질문
Q. 나는 티빙 회원인데 내 정보가 유출됐는지 어떻게 알 수 있나요?
A. 현재 티빙은 영향을 받은 이용자에게 개별 안내를 진행 중입니다.
앱이나 이메일로 별도 공지가 없더라도, 티빙 가입 이력이 있다면 예방 조치를 먼저 해두는 것이 안전합니다.
Q. CI가 유출됐는데 주민등록번호도 위험한 건가요?
A. CI는 주민등록번호를 기반으로 만든 식별 코드이지 주민등록번호 자체는 아닙니다.
티빙은 주민번호를 보유하지 않으며 이번 유출에도 포함되지 않았습니다.
다만 CI와 이름·생년월일이 결합되면 명의 도용에 악용될 수 있어 주의가 필요합니다.
Q. 비밀번호가 단방향 암호화로 유출됐다면 안전한 건 아닌가요?
A. 단방향 암호화는 원칙적으로 복호화가 어렵지만, 알고리즘 강도에 따라 완전히 배제할 수는 없습니다.
무엇보다 같은 비밀번호를 다른 서비스에 쓰고 있다면 그쪽 피해로 이어질 수 있어 변경을 권장합니다.
Q. 티빙 말고 넷플릭스, 웨이브 같은 다른 OTT도 위험한가요?
A. 이번 사고는 티빙에 한정됩니다.
다만 같은 아이디·비밀번호를 여러 OTT에 쓰고 있다면 크리덴셜 스터핑으로 다른 서비스도 노출될 수 있습니다.
서비스마다 다른 비밀번호를 설정하는 것이 근본 대응입니다.
Q. 개인정보 유출 피해를 공식적으로 신고하려면 어디에 하나요?
A. KISA 개인정보 침해신고센터 국번 없이 118, 또는 개인정보보호위원회 홈페이지에서 신고할 수 있습니다.
티빙 직접 접수는 1551-2391 또는 tving@cj.net입니다.
※ 이 글은 2026년 6월 4일 기준 공개 자료(티빙 공식 공지, 개인정보보호위원회, 과기부, 언론 보도)를 바탕으로 작성했습니다. 피해 규모 등 조사 중인 사항은 추후 공식 발표에 따라 달라질 수 있습니다.
0 댓글