사회

주민번호보다 치명적…티빙 1,953만 명 ‘CI’ 유출, 윤상현 CJ ENM 성장 전략 결과?

진용준 기자｜[email protected] 2026-06-26 19:30:30

온라인 주민번호 ‘CI’ 무방비 노출…도용·추적 위험 영구 가능성

공시엔 상시 ‘특이사항 없음’ 보고…경영진, 실적 압박에 보안 투자 소홀 ‘책임론’

CJ ENM의 '2025년 사업보고서' 중 '준법지원인 등의 주요 활동 내역' 발췌. 1,953만 명의 연계정보(CI)가 유출되는 보안 대재앙이 예견된 상황이었음에도 불구하고, 준법지원 조직은 '개인정보보호 현황 모니터링' 결과에 대해 상시 '특이사항 없음'으로 기재하여 이사회에 보고했다. (출처=금융감독원 전자공시시스템) — CJ ENM의 2025년 사업보고서 중 ‘준법지원인 등의 주요 활동 내역’에 따르면, 약 1,953만 명에 달하는 연계정보(CI) 유출 위험이 이미 예견된 상황이었음에도 불구하고, 준법지원 조직은 ‘개인정보보호 현황 모니터링’ 결과를 상시 ‘특이사항 없음’으로 기재해 이사회에 보고한 것으로 나타났다. (출처=금융감독원 전자공시시스템)

국내 최대 OTT(온라인동영상서비스) 플랫폼 티빙(TVING)에서 발생한 개인정보 유출 사고의 피해 규모가 당초 예상을 뛰어넘는 1천953만 명으로 최종 확인되면서, 이용자들의 ‘영구적 식별 정보’가 범죄의 표적이 되고 있다.

특히 이번 사고는 CJ ENM이 윤상현 대표 체제하에서 ‘글로벌 콘텐츠 리더’를 목표로 공격적인 외형 확장에만 몰두한 나머지, 가장 기본이 되어야 할 고객 데이터 보안 인프라 구축에는 심각한 구멍을 방치했다는 비판이 제기된다.

■ ‘평생 변경 불가능’…온라인 정체성 통째로 넘긴 보안 참사

26일 업계에 따르면 이번 해킹 사고가 주민등록번호 유출보다 더 치명적으로 평가되는 이유는, 유출 정보에 연계정보(CI)가 포함됐기 때문이다.

CI는 주민등록번호를 기반으로 생성되는 88바이트 암호값으로, 동일한 주민번호를 사용할 경우 어떤 웹사이트에서도 같은 값이 생성되는 구조를 갖는다.

이로 인해 티빙에서 유출된 CI는 금융·전자상거래·대형 포털 등 다른 서비스에서 이용자를 식별하는 값과 그대로 일치하며, 해커는 이를 통해 개인의 온라인 활동 전반을 연결·추적할 수 있는 사실상의 ‘마스터키’를 확보하게 된다.

더 심각한 문제는 CI가 한 번 생성되면 변경이 불가능한 영구 식별 정보라는 점이다.

비밀번호는 물론 주민등록번호조차 도용 피해가 확인될 경우 일정한 절차를 거쳐 변경이 가능하지만, CI는 주민등록번호에 종속돼 있어 이용자가 임의로 폐기하거나 재발급받을 수 있는 수단이 없다.

그 결과 1,953만 명에 달하는 이용자들은 장기간에 걸쳐 해킹 위협과 연쇄 도용 위험에 노출될 수밖에 없는 상황에 놓이게 됐다.

정부가 주민등록번호와 CI의 분리 보관 의무화 시행 시점을 4개월 앞당기기로 결정했지만, 이미 핵심 정보가 대규모로 유출된 이후여서 ‘사후약방문’에 불과하다는 비판이 제기된다.

■ 실적 개선에 쏠린 윤상현 대표 체제… 이사회 의장 겸임 속 ‘보여주기식’ 컴플라이언스 논란

CJ ENM 윤상현 대표와 티빙을 이끄는 최주희 대표 등 현 경영진을 향해, 대규모 개인정보 유출 사고와 관련한 보안 투자 소홀 및 관리 책임론이 제기되고 있다.

윤 대표는 2023년 말 대표이사 선임을 위한 내부 절차를 거쳐, 2024년 3월 정기 주주총회 이후 CJ ENM 대표이사(엔터테인먼트 부문)로 공식 취임하며 본격적인 경영 체제를 가동했다.

이후 윤상현 대표 체제에서 CJ ENM은 티빙 경쟁력 강화를 위해 콘텐츠 투자 확대와 2025년 콘텐츠웨이브와의 협업 본격화 등 시장 장악력 제고 전략에 주력해왔다.

특히 윤 대표는 CJ ENM의 대표이사이자 이사회 의장을 겸임하고 있다.

공시 자료에 따르면 윤 대표는 2024년 5월 이사회 결의를 통해 의장으로 선임된 데 이어, 2025년에도 재선임됐다.

이에 따라 이사회 소집과 안건 상정, 의사결정 과정을 주도하는 최종 거버넌스 책임자라는 점에서 이번 사안의 책임 구조가 주목되고 있다.

문제는 이러한 외형 확장 기조 속에서도 개인정보 보호를 위한 내부 통제와 보안 관리 체계가 실질적으로 작동했는지에 대한 의문이 커지고 있다는 점이다.

실제로 CJ ENM은 2025년에도 ‘개인정보보호 현황 모니터링’ 결과를 이사회에 ‘특이사항 없음’으로 보고했다고 공시했지만, 그 사이 티빙에서 1,900만 명이 넘는 이용자 개인정보 유출 사고가 발생하면서 이사회 차원의 점검과 보고 체계의 실효성에 의문이 제기되고 있다.

이 같은 논란은 CJ ENM이 윤 대표 취임 이전인 2021년 컴플라이언스 경영시스템(ISO37301) 인증을 획득하고 상시 정보보호 모니터링 체계를 운영하고 있다고 밝혀온 점과 대비되며
더욱 증폭되는 양상이다.

이번 사고를 계기로, 해당 제도가 실제 현장의 보안 리스크를 충분히 통제하지 못한 것 아니냐는 비판도 나온다.

한편, 티빙의 실질적인 운영과 보안 관리 책임을 지는 최주희 티빙 대표를 향한 실무 책임론도 함께 제기되고 있다.

최 대표는 취임 이후 광고형 요금제 도입, 스포츠 중계권 확보 등 수익성 개선과 플랫폼 외형 확대에 주력해왔다.

다만 이 과정에서 데이터 분리 보관, 보안 인프라 고도화 등 비용 부담이 큰 보안 투자가 충분히 이뤄졌는지를 두고 문제 제기가 이어지고 있다.

재무적 부담 역시 경영 판단에 영향을 미쳤을 가능성이 거론된다. 실제로 티빙은 2022년 1,249억 원, 2023년 1,523억 원의 당기순손실을 기록한 데 이어, 2024년 770억 원, 2025년 893억 원의 순손실을 기록하며 대규모 적자 구조가 장기화되고 있다.

업계에서는 이러한 적자 국면에서 단기적인 성과 압박이 커지면서, 비용 부담이 큰 보안 시스템 고도화보다 외형 성장과 사업 확대에 경영 자원이 더 집중된 판단이 이번 사태의 배경으로 작용했을 가능성을 제기하고 있다.

이 과정에서 이용자의 영구적 개인 식별 정보가 충분한 보호 아래 관리되지 못했다는 점에서, CJ ENM 이사회와 티빙 경영진을 향한 손해배상 책임과 관리·감독 책임을 묻는 요구도 확산되고 있다.