통합 로그인 이용한 수평 이동 2차 피해 차단 목적
내달 2일까지 순차적 강제 로그아웃 및 계정 접속 차단 조치

[보안뉴스 조재호 기자] 대규모 개인정보 유출 사태가 벌어진 온라인 동영상 서비스(OTT) 티빙(TVING)이 그룹사 통합 멤버십 씨제이원(CJ ONE) 계정 연동 차단이라는 초강수를 뒀다.



티빙은 11일 내달 2일까지 CJ ONE 아이디로 티빙에 가입한 회원을 대상으로 순차적으로 계정 잠금 작업을 진행한다고 밝혔다. 이 기간 중 작업 대상이 된 회원의 CJ ONE 계정은 선제적으로 잠금 처리되며, 접속돼 있던 티빙 서비스에서도 강제 로그아웃된다.

아이디와 비밀번호를 넘어 주민등록번호를 대체하는 연계식별정보(CI)까지 유출된 상황에서, 이를 악용한 해커들의 크리덴셜 스터핑(Credential Stuffing) 공격과 다른 서비스로의 피해 확산을 끊어내기 위한 결정으로 풀이된다.

티빙은 공지에서 “개인정보 유출 사고로 심려를 끼쳐드린 점을 깊이 사과드린다”며 “2차 피해 방지를 위한 선제적 조치”라고 밝혔다.

크리덴셜 스터핑은 해커가 유출된 ID와 비밀번호로 다양한 서비스에 무작위로 대입해 로그인을 시도하는 공격 수법이다.

CJ ONE은 CJ 그룹사 통합 로그인 오픈 ID이다. 티빙을 비롯해 올리브영과 씨유(CU) 편의점, CJ대한통운 등 광범위한 제휴처에서 간편 결제와 포인트 제도를 운영 중인 플랫폼으로, 현재 가입자 수만 3100만명에 달한다.

이번 잠금 조치는 티빙 연동 계정에만 적용된다.

다만 현재까지 확인된 것은 티빙의 사고로, CJ ONE 시스템 자체의 정보 유출이나 사고 확산이 확인된 것은 아니다.

계정 잠금을 해제하기 위해서는 이용자가 직접 절차를 거쳐야 한다. CJ ONE 홈페이지나 앱에 접속해 안내 화면을 확인하고, 본인인증과 비밀번호를 재설정해야 잠금이 해제된다. 이 과정에서 오류가 발생하면 CJ ONE 고객센터에 개별적으로 연락해 문제를 해결해야 한다고 안내됐다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>