CJ 잇단 개인정보 유출, 디지털 시민 권리의 위기와 기업 투명성의 과제

CJ그룹을 둘러싼 개인정보 유출 사고가 잇따르면서 디지털 시대 시민의 권리와 기업의 투명성에 대한 근본적인 질문이 제기되고 있다. 지난달 여성 임직원 330명의 개인정보가 텔레그램을 통해 무단 유출된 데 이어, 최근에는 CJ ENM의 OTT 플랫폼 티빙에서도 회원 정보 유출이 확인되었다. 이는 단순한 보안 사고를 넘어, 개인의 일상이 디지털로 연결된 시대에 기업의 정보보호 체계와 내부 통제 역량이 얼마나 취약한지를 보여주는 대목이다.

특히 콘텐츠, 커머스, 멤버십 등 계열사 간 연결성이 높은 CJ의 서비스 구조에서는 한 곳의 개인정보 보호 실패가 개별 계열사의 문제를 넘어 그룹 전체의 신뢰 하락과 이용자 이탈로 이어질 수 있다. 디지털 생태계의 상호 연결성을 강조하며 혁신을 말하는 기업들이, 정작 그 연결성의 기반인 데이터 보호에는 책임을 다하지 못하고 있는 모순이 빚어낸 결과다.

시민의 연대, 권리를 찾기 위한 목소리

5일 업계 소식에 따르면, 티빙 해킹 사실이 알려진 지 이틀 만인 지난 4일 일부 이용자들은 피해 사례를 공유하고 공동 대응 방안을 논의하기 위해 '티빙 해킹 피해자 모임' 네이버 카페를 개설했다. 디지털 공간에서 권리를 수호하려는 시민들의 자발적 연대는 매우 고무적이다. 회원들은 피해 경위를 정리하며 향후 집단 대응 및 법적 대응 여부를 검토하고 있다.

개설 하루 만에 130명 이상이 가입했으며, 운영진은 정확한 피해 규모와 유출 경로가 확인되지 않은 만큼 우선 피해 사례를 수집하고 사고 원인을 파악한 뒤 향후 대응 방향을 논의하겠다고 밝혔다. 카페 내에서는 계정 로그인 이력 이상, 비밀번호 변경, 계정 탈퇴 사례 등이 공유되며 불안이 확산되는 분위기다.

티빙 해킹 사태는 이용자 개인정보를 저장한 데이터베이스(DB)에 비인가 접근이 발생해 정보가 유출된 사례로 꼽힌다. 유출 항목에는 아이디, 이름, 생년월일, 성별, 휴대전화번호 일부, 이메일, 환불 계좌번호, 연계정보(CI), 중복가입확인정보(DI) 등이 포함되었다. 정확한 유출 규모는 공개되지 않았지만 과학기술정보통신부와 개인정보보호위원회가 조사에 착수한 상태다. 티빙 가입자수가 최소 500만명인 점을 감안하면 상당수의 디지털 시민이 피해를 입었을 가능성이 크다.

여성 임직원 인권 침해와 불안의 그림자

지난 5월 발생한 CJ 여성 임직원 개인정보 유출 사건에 대한 우려도 계속되고 있다. 직장인 익명 커뮤니티 '블라인드' 등에는 텔레그램 공개 채널을 통해 여성 직원 330여명의 휴대전화 번호, 소속 부서, 직급, 사내 전화번호, 이메일, 사진 등이 게시되었다는 내용과 함께, 특정 가능한 개인정보가 대량 유출되면서 스토킹, 사칭, 딥페이크 등 2차 범죄로 이어질 수 있다는 두려움의 글들이 지속적으로 올라오고 있다.

문제가 된 텔레그램 채널은 5월 21일 폐쇄되었지만, 이름과 연락처뿐 아니라 사진까지 외부에 노출되었다는 점에서 피해자들의 불안은 여전하다. 일부 피해자들은 초기 안내 과정에서 사진 유출 가능성 등에 대한 설명이 충분하지 않았다고 지적하고 있다. 기업이 내부 구성원의 인권과 안전을 보호하는 데 소극적이었다는 비판을 피하기 어렵다.

연결된 생태계, 혁신의 그림자 속 보안 취약성

업계에서는 이번 사안을 단순한 개별 서비스의 보안 사고를 넘어 그룹 차원의 보안 관리 체계와 신뢰 문제로 보고 있다. CJ는 영화, 콘텐츠, 커머스, 물류, 외식 등 다양한 사업을 계열사 단위로 연결해 운영하며, 일부 서비스는 통합 ID와 멤버십 기반 이용 방식을 활용하고 있다. 이러한 구조에서 사고 발생 시 추가 피해 우려는 더 커진다.

시스템 연동 여부와 별개로, 이용자들은 하나의 계정 체계 안에서 여러 서비스를 이용한다고 인식한다. 따라서 한 곳의 사고가 다른 서비스까지 영향을 줄 수 있다는 불안으로 빠르게 확산될 수 있다. 특히 티빙 유출의 경우 전문가들은 유출 항목 가운데 포함된 연계정보(CI)에 주목하고 있다. 연계정보는 주민등록번호를 직접 처리하지 않고도 동일 이용자를 식별해 여러 서비스에서 개인별 서비스를 제공할 수 있도록 하는 정보로, 웹과 앱 기반 서비스에서 통합 로그인과 회원 식별 등에 폭넓게 활용된다. 이 이메일과 연락처 등 다른 유출 정보와 결합될 경우 이용자 식별이나 본인 확인 절차 악용, 맞춤형 피싱 등 추가적인 보안 위험으로 이어질 수 있다.

개인정보 유출의 위험은 단순히 정보가 외부로 나가는 데 그치지 않는다. 기존에 유출된 데이터와 결합될 경우 시간이 지난 뒤에도 맞춤형 사칭이나 피싱, 계정 침해 등 2차 피해로 이어질 수 있다는 점에서 피해 규모를 사전에 체감하기 어렵다는 것이 전문가들의 공통된 설명이다. 이에 따라 단순한 사후 공지보다 내부 통제 체계 전반에 대한 재점검이 시급하다.

투명성과 체계적 혁신이 답이다

이기혁 중앙대 융합보안학과 교수는