최주희號 티빙, 성장 드라이브에 묻힌 '보안 경고음'

최주희 대표 선임 후 정보보호 투자 '21억→17억'업계 "KBO 중계권 등 가입자 확보 우선순위였을 것""보안 및 보호 분야, 비용이 아닌 투자의 개념이어야"

그래픽=박혜수 기자

토종 온라인동영상서비스(OTT) 티빙이 개인정보 유출 사고로 도마 위에 오른 가운데 회사 차원에서 최근 2년간 정보보호 투자를 줄인 것으로 나타났다. 특히 이 같은 기조가 최주희 대표 취임 이후 이어져 일각에선 가입자 확보와 콘텐츠 경쟁에 치중한 나머지 보안 영역을 소홀히한 게 아니냐는 지적이 나온다.

4일 한국인터넷진흥원(KISA) 정보보호공시에 따르면 최근 2년간 티빙의 정보기술부문 투자와 정보보호부문 투자 규모가 지속 감소했다. 2024년 말 기준 티빙의 정보기술부문 투자액은 약 263억원, 기술 부문 투자에 포함되는 정보보호부문 투자액은 약 17억원으로 집계됐다.

이는 전년에 비해 줄어든 수치다. 2023년도 티빙의 정보기술부문 투자 규모는 약 488억원으로 2024년에 접어 들어 45%나 줄었다. 같은 기간 정보보호부문 투자는 18억원으로 2024년(17억원) 대비 유의미한 변화를 보이지 않았다.

티빙의 정보보호 투자 감소세가 최주희 대표 재임 기간과 맞물린다는 점도 눈여겨 볼 대목이다. 실제 최 대표 취임 전인 2022년과 비교하면 감소 폭은 더욱 두드러진다. 2022년 티빙의 정보기술부문 투자액은 418억원이었으며, 이 중 정보보호부문 투자액 역시 21억원을 기록하며 기술 투자 중 정보보호에만 5.2% 비중을 차지했다. 최 대표 취임 후인 2023년에는 3.8%로 낮아졌다.

그래픽=홍연택 기자

고객들의 개인정보가 유출된 상황에서 정보보호 투자 축소는 문제가 될 수 있다. 이번 유출 사태가 단순 내부 실수(휴먼에러)가 아닌 외부 서버 침입에 의해 발생한 것이기 때문이다. 앞서 티빙은 지난 2일 이용자들의 개인정보를 저장하는 DB(데이터베이스)에 비인가 접근이 이루어져 개인정보가 유출된 정황을 확인했다고 밝혔다.

유출된 것으로 추정되는 개인정보는 ▲아이디 ▲이름 ▲생년월일 ▲성별 ▲연계정보(CI) ▲전화번호 ▲이메일 ▲비밀번호 등이다. 현재 과학기술정보통신부(과기부)와 한국인터넷진흥원이 민관합동조사단을 꾸리고 조사에 착수했으며, 개인정보위원회도 자료 제출 요구와 현장조사 등을 통해 피해 규모 등 조사에 들어갔다.

최 대표는 사과문을 통해 "이용자 여러분께서 믿고 맡겨 주신 정보를 지켜드리지 못했으며, 그 책임은 전적으로 티빙에 있다"며 "사고를 확인한 후 필요한 대응 조치를 시행하였으며, 현재 정부 및 관계 기관의 조사에 성실히 협조하고 있고, 영향을 받은 이용자에게는 개별적으로 안내하는 등 피해 구제와 이용자 보호를 위해 끝까지 책임지겠다"고 말했다.

일각에서는 티빙이 가입자 확대와 콘텐츠 경쟁력 강화에 집중하는 과정에서 정보보호 투자의 우선순위가 밀린 것 아니냐는 진단도 내놓는다. 특히 티빙은 가입자 확보를 위해 2024년 3월 KBO(한국프로야구) 리그 유무선 중계권 사업 계약을 체결했으며, 연평균 450억원 규모의 중계권료를 지급하는 것으로 알려졌다. 이는 국내 프로스포츠 역사상 최대 규모의 유·무선 중계권 계약이다.

해당 기간 가입자도 늘었다. 야구 중계를 시작한 후 2024년 5월 500만명대 선에서 머물던 티빙의 월간활성이용자수(MAU)는 731만명으로 급증했으며, 같은해 10월에는 810만명으로 성장하는 등 전성기를 맞이했다. 지난달 티빙의 MAU는 881만명으로 지난 4월(770만명)보다 약 100만명 증가했다.

업계 한 관계자는 "(티빙이) 최근 2년 동안 KBO 중계를 포함해 시장 경쟁력을 끌어올리기 위해 중계권 확보 및 여러 콘텐츠 수급 등에 투자를 많이 진행했다"며 "만약 지난해에도 이를 위한 비용과 재원을 마련하기 위해 보호 투자를 줄였다면, 이번 사태와도 무관치 않을 것"이라고 말했다. 지난해 투입된 티빙의 정보기술 및 보호 금액은 이달 말 공시될 예정이다.

김명주 서울여대 지능정보보호학과 교수는 "대부분 기업들이 비용 절감을 위해서는 보안 및 시스템 관리 부분을 가장 먼저 줄인다"며 "보안, 보호 분야는 비용이 아닌 투자의 개념으로 보고 행해야 예상치 못한 (유출) 사태가 발생했을 때도 피해 규모가 비교적 줄일 수 있으나 그간 사고가 없었다고 관련 비용을 줄이면, 문제가 커질 수 있다"고 설명했다.

이어 김 교수는 "(티빙의 사태 경우) CI(연계정보)가 유출됐다 해서 바로 범죄 등에 악용되는 것은 아니지만, 그럴 가능성은 높아질 수 있다"며 "단순히 티빙의 계정의 패스워드(비밀번호)만 바꾸는 것이 아닌 연계된 사이트의 정보도 바꿔야 할 것"이라며 덧붙였다.