33.13
2.49
 |
CJ ENM 자회사인 온라인동영상서비스(OTT) '티빙'에서 대규모 정보유출 사태가 발생하면서 정보보호 역량이 도마 위에 올랐다. 티빙은 그룹의 IT 인프라 및 보안 서비스를 담당하는 CJ올리브네트웍스가 있음에도 보안 감사를 외부에 맡겼다. CJ올리브네트웍스가 해킹 이후 티빙의 사태 수습에 나서고 있지만 CJ그룹 내 보안 체계의 불협화음이 주목받고 있다.
과학기술정보통신부는 지난 3일 외부의 비인가 접근으로 티빙 이용자의 개인정보 일부가 유출됐다고 밝혔다. 현재까지 파악된 유출 규모는 약 1300만 명이다. 티빙의 월간 활성 이용자 수(MAU)는 지난달 기준 882만 명, 유출 대상에는 유·무료 가입자가 모두 포함됐을 가능성이 크다. 한국인터넷진흥원(KISA)은 정확한 유출 경위와 피해 범위를 조사 중이다.
KISA에 따르면 이번 사고는 외부에서 데이터를 단순 탈취한 것이 아니라, 내부 시스템 통제권을 확보한 뒤 직접 명령어(쿼리)를 입력해 데이터를 조회한 것으로 파악됐다. 코드 공유 및 협업 플랫폼에 접근할 수 있는 로그인 정보가 노출됐다는 정황도 있다. 기본적인 보안 수칙을 경시한 것이 이 같은 사태를 야기했다는 지적이 나온다.
티빙의 정보보호 운영 방식도 도마 위에 올랐다. CJ그룹에는 그룹 전산 인프라 운영을 담당하는 IT 계열사 CJ올리브네트웍스가 있다. 모회사인 CJ ENM은 정보보호 활동 과정에서 CJ올리브네트웍스로부터 보안성 검토를 받는 등 협력해 온 것으로 알려졌다.
하지만 티빙은 정기 보안 감사를 외부 기관에 맡겨왔다. CJ ENM 관계자는 "보안 감사의 독립성과 객관성을 확보하기 위해 외부 전문기관을 활용하고 있다"고 설명했다.
외부 보안 감사는 기업 현장에서 흔히 활용되는 방식이다. 내부 조직보다 외부 감사 기관이 이를 더 객관적으로 수행할 수 있다는 인식이 있는 데다 계열사 간에도 별도 용역 계약을 체결해야 하는 만큼 비용 측면에서 유리할 수 있다는 분석도 나온다. 다만 침해사고가 발생하면 개인정보 유출 등 민감한 문제가 얽혀 있어 실제 대응까지 외부에 맡기기는 쉽지 않다.
티빙 역시 현재 CJ올리브네트웍스와 함께 해킹 관련 대응을 진행 중이다. 평상시에는 외부 전문기관을 통해 보안 감사를 진행하고 사고 발생 이후에는 그룹 내부 역량을 활용하는 이원화된 구조인 셈이다.
CJ ENM은 엔터테인먼트 부문과 커머스 부문별 최고정보보호책임자(CISO)를 선임하고 CJ그룹 정보보호위원회와 연계한 거버넌스를 운영 중이다. 특히 지난해 발간한 ESG(환경·사회·지배구조) 보고서에는 자회사와 외부 협력사까지 포함한 정보보호 관리체계를 고도화하겠다는 내용이 담겼다. 그룹 차원의 보안 거버넌스를 제대로 운용하지 못한 최대주주 CJ ENM에 책임이 뒤따른다는 비판이 나오는 이유다. 현재 CJ ENM과 티빙 모두 CISO를 두고 있지만, 임원이 아닌 실무급 책임자가 직무를 대신하고 있다.
CJ올리브네트웍스는 계열사의 IT 인프라를 책임질뿐 아니라 '보안 취약점 진단 및 모의해킹' 솔루션도 제공하고 있다. 이는 내·외부에서 발생할 수 있는 보안 위협을 사전에 도출하고 제거해 IT 서비스의 보안 수준을 높이는 데 목적을 둔다. 이 때문에 모회사인 CJ ENM이 CJ올리브네트웍스로부터 보안성 검토를 받아왔다면 자회사인 티빙이 굳이 외부 기관에 정기 보안 감사를 맡길 필요가 있었느냐는 의문이 제기된다.
IT 업계 관계자는 "보안성 검토를 그룹 내 IT 계열사가 맡지 않는 경우도 있다. 계열사라고 해도 별도 비용을 지불해야 하기 때문"이라며 "다만 모회사가 절대적인 영향력을 미치는 상황에서 자회사만 외부 보안 감사를 받았다는 점은 쉽게 이해되지 않는다"고 말했다.
