2026.05.30 티빙 해킹 및 개인정보유출 정리

 

1. 개요

• 티빙은 비인가 접근으로 회원정보가 유출된 사실을 공지한 것으로 보도됐습니다.
• 이 사고는 단순 로그인 시도 수준의 크리덴셜 스터핑이 아니라, 회원정보 자체가 외부에 노출된 개인정보 유출 사고로 분류할 수 있습니다.

 

2. 피해범위

• 유출된 범위는 회원 ID를 포함해 이름, 생년월일, 성별, 전화번호, 이메일 주소입니다.
• 다만 주민등록번호와 결제 관련 정보는 유출되지 않았다고 전했습니다.
• 현재 정확한 유출 인원 수는 확인되지 않았습니다.

 

3. 유출항목

• 유출 항목은 회원 ID, 이름, 생년월일, 성별, CI, DI, 휴대폰번호(마지막 4자리 암호화), 이메일 주소(도메인 제외 ID 부분 암호화), 환불계좌번호(암호화), 비밀번호(암호화), 이외 서비스 이용 관련 정보 등 입니다.
• 이 항목들은 계정 식별과 본인 특정에 활용될 수 있어, 피싱·스미싱·계정 탈취 시도에 악용될 가능성이 있습니다.

 

 

4. 원인

• 원인은 비인가 접근입니다.
• 이와 별개로 티빙은 2025년 12월에는 외부에서 이미 유출된 계정 정보를 이용한 크리덴셜 스터핑 공격을 탐지한 바 있으며, 당시에는 공격 시도 IP 차단과 보안 강화 조치를 적용했다고 밝혔습니다.
• 따라서 2026년 사고는 계정 재사용형 공격과는 구분되는, 회원정보 접근 통제가 깨진 형태로 이해하시는 것이 맞습니다.

 

5. 대응

• 티빙은 이전 크리덴셜 스터핑 사례에서 공격 시도 IP 차단, 모니터링 정책 강화, 로그인 캡차 정책 강화, 이용권 변경 시 추가 인증 조치를 적용했다고 밝혔습니다.
• 또한 이용자들에게 비밀번호 변경, 로그인 기록 확인, 이용권 구독 내역 확인 등을 권고했습니다.
• 2026년 유출 사고에 대해서는 구체적인 후속 대응 수단까지는 확인되지 않았습니다.

 

6. 문제점

• 첫째, 온라인 본인확인 서비스에서 발급하는 CI(연계정보)와 DI(중복가입확인정보)는 민감한 개인정보입니다. CI나 DI 자체만으로 계정 비밀번호나 금융거래 정보를 직접 해킹할 수는 없습니다. 하지만 이를 다름 곳의 유출 데이터베이스와 대조해 회원의 신상정보를 추적하거나 프로필을 작성하는데 악용할 소지가 큽니다.
• 둘째, 과거에는 크리덴셜 스터핑 같은 계정 공격이 확인됐는데도 이후 회원정보 유출로 이어졌다는 점에서 접근통제와 계정보호 체계 전반을 재점검할 필요가 있습니다.
• 셋째, 정확한 유출 규모와 침해 경로가 충분히 공개되지 않아, 이용자 입장에서는 위험 평가와 추가 대응이 어렵습니다.