💡 티빙 개인정보 유출, 1900만 명이 한방에 털렸다
2026년 5월 30일 저녁 6시 1분, 티빙의 DB 서버 CPU 사용률이 갑자기 100%로 치솟았습니다. 누군가 서버 안에 직접 침투해 데이터를 무단 반출한 겁니다. 적게는 1300만 명, 많게는 1900만 명의 개인정보가 통째로 유출됐습니다. 대한민국 인구 5000만 명 중 1900만 명이면 국민 세 명 중 한 명꼴입니다. 아이디, 이름, 생년월일, 성별, 휴대폰 번호, 이메일, 환불 계좌번호, 비밀번호, 쿠폰 정보, 결제 이력, 접속 IP까지 거의 모든 정보가 풀세트로 뺏겼습니다. 이쯤되면 내 디지털 신상이 완전히 털렸다고 봐야 합니다.
🔍 온라인 주민번호 CI·DI, 국정원이 직접 나선 이유
국정원이 긴급 경고를 발령했습니다. 이유는 바로 CI와 DI라는 값이 털렸기 때문입니다. CI는 연계정보로, 주민등록번호를 암호화해 만든 고유 식별값입니다. A 사이트의 나와 B 사이트의 내가 같은 사람인지 연결해 주는 열쇠라서 ‘온라인 주민등록번호’라고 불립니다. DI는 중복가입확인정보로, 한 사이트 안에서 동일인이 중복 가입했는지 걸러주는 값입니다. 이 두 값이 합쳐지면 여기저기 흩어진 내 정보를 한 줄로 꿰는 것이 가능해집니다. 해커가 주민등록번호 자체를 복원하는 건 불가능하지만, 내 온라인 신상을 완벽히 연결하는 건 충분히 가능하다는 게 국정원의 판단입니다.
📝 23시간 59분의 함정, 티빙의 계산된 늑장 신고
현행법은 개인정보 유출을 인지하면 24시간 안에 신고하도록 규정합니다. 그런데 티빙은 23시간 59분에 신고했습니다. 법정 마감 시간을 단 1분 남겨두고 마지막 순간에 제출한 겁니다. 침입은 5월 30일, 유출 확인은 5월 31일, 신고는 6월 1일, 이용자 공지는 6월 3일이었습니다. 침입 후 이용자에게 알리기까지 무려 4일이 걸렸습니다. 전문가들은 이게 우연이 아니라고 말합니다. 기업 입장에서 빨리 신고하면 욕만 더 먹고 법적 부담만 커지니까, 법이 허용하는 마지막 1초까지 버틴 겁니다. 개인정보 피해자는 빨리 알아야 2차 피해를 막을 시간을 벌 수 있는데, 기업의 이익이 피해자의 안전보다 우선시된 셈입니다.
📈 KT·SKT·쿠팡까지, 개인정보 유출 연쇄작용
티빙 사태만 isolated된 사건이 아닙니다. 2025년 SK텔레콤은 유심 해킹으로 가입자 2324만 명이 털렸고, 해커가 내부망에서 4년 동안 활동했는데도 로그를 안 봐서 몰랐습니다. 2026년 쿠팡은 회원 332만 명과 비회원 정보까지 합쳐 사실상 전 국민 규모의 정보가 유출됐습니다. 더 아이러니한 건, 작년 KT 개인정보 유출 당시 KT가 보상으로 티빙 이용권을 줬다는 점입니다. KT에서 한 번 털리고, 보상받은 티빙에서 또 털린 겁니다. 지난 5년간 한국에서 유출된 개인정보는 누적 1억 5500만 건, 국민 한 명당 평균 세 번 이상 털린 셈입니다.
💰 게리 베커의 범죄 경제학, 기업은 왜 보안을 안 할까
노벨 경제학상 수상자 게리 베커는 1968년 ‘범죄의 경제학’에서 인간은 범죄조차 손익 계산한다고 주장했습니다. 공식은 간단합니다. 기대 처벌 = 잡힐 확률 x 처벌의 크기. 기대 처벌이 범죄 이득보다 작으면 사람은 범죄를 저지릅니다. 한국 기업의 계산기는 명확했습니다. 보안에 매년 수백억 쓰느니, 털려도 과징금 70억 내는 게 싸게 먹힌다는 결론이었죠. 2023년 LGU플러스는 30만 건 털렸는데 과징금이 고작 70억이었습니다. 벌금이 준법 비용이 아니라 그냥 사업 비용이 되어 버린 겁니다. 슬프지만, 기업 입장에선 합리적인 선택이었습니다.
⚙️ 2026년 쿠팡 6246억 과징금, 진정한 억지력이 될까
2026년 6월, 정부는 쿠팡에 역대 최대 규모인 6246억 원의 과징금을 부과했습니다. 이는 LGU플러스 대비 89배, 전 세계 개인정보 유출 벌금 중 손꼽히는 수준입니다. 처벌의 크기는 확실히 커졌습니다. 그런데 문제는 잡힐 확률입니다. 베커의 공식에서 잡힐 확률이 낮으면 처벌이 아무리 세도 억지력이 떨어집니다. 게다가 벌금은 회사 돈, 즉 주주와 투자자의 돈입니다. 보안 투자를 결정하는 임원이나 경영진이 직접 징역 가는 사례는 한국에 거의 없습니다. 의사 결정자의 계산기는 아직 안 바뀌었습니다. 진정한 억지력을 만들려면 처벌 크기뿐 아니라 잡힐 확률을 높이고, 책임자 개인에게도 제재를 가해야 합니다.
✅ 핵심 요약 Q&A
Q: 티빙 개인정보 유출 규모는 어느 정도인가요? A: 최소 1300만 명에서 최대 1900만 명까지 추정되며, CI·DI를 포함한 거의 모든 개인정보가 유출됐습니다. Q: CI와 DI가 왜 위험한가요? A: CI는 온라인 주민등록번호 역할을 하고, DI는 중복가입 확인용입니다. 이 두 개가 합쳐지면 서로 다른 사이트의 내 정보가 한 사람으로 연결됩니다. Q: 티빙은 신고를 제때 했나요? A: 법정 시한 24시간 중 23시간 59분에 신고했습니다. 침입 후 이용자 공지까지 4일이 걸려 늑장 대응 논란이 있습니다. Q: 2026년 법이 바뀌면서 뭐가 달라졌나요? A: 쿠팡에 6246억 원의 역대 최대 과징금이 부과됐습니다. 처벌 규모는 커졌지만, 잡힐 확률과 경영진 개인 책임은 여전히 미흡합니다. Q: 앞으로 더 털릴 가능성이 있나요? A: 베커의 경제학으로 볼 때, 잡힐 확률이 낮고 책임자가 처벌받지 않는 구조라면 개인정보 유출은 계속될 가능성이 높습니다.
