티빙의 개인정보 유출 사고를 계기로 CJ올리브네트웍스와의 반복된 엇갈림이 주목받고 있다. 티빙은 그룹 IT 계열사 대신 외부 업체를 통해 정기 보안감사를 진행했지만 해킹 이후에는 CJ올리브네트웍스에 대응을 맡겼다. KBO 프로야구 중계 계약 파기부터 누적된 갈등이 이어졌다는 분석이다.


15일 IT업계에 따르면 티빙은 최근 외부의 비인가 접근으로 이용자 개인정보 일부가 유출된 사실을 확인했다. 현재까지 파악된 유출 규모는 약 1300만명이다. 한국인터넷진흥원(KISA)은 정확한 침해 경위와 피해 범위를 조사 중이다. 피해자들의 손해배상 청구도 이어지고 있다. 법무법인 지향은 지난 11일 서울중앙지법에 티빙의 개인정보 유출로 피해를 본 이용자 1051명을 대리해 손해배상 청구 소송을 제기했다고 전했다.

이번 사고를 계기로 티빙의 보안 운영 방식에도 관심이 쏠린다. CJ올리브네트웍스는 CJ그룹 내 IT 인프라 구축과 정보보호 업무를 담당하는 계열사다. 모회사인 CJ ENM은 CJ올리브네트웍스로부터 보안 감사를 받아왔다. 반면 티빙은 외부 업체를 통한 정기 보안감사를 택했다. 그룹 내부 보안 역량을 활용하기보다 독자적인 체계를 유지해 온 것이다. 사고 발생 이후에는 CJ올리브네트웍스가 원인 분석과 시스템 점검 등 대응 과정에 참여하고 있는 상황이다.


CJ올리브네트웍스는 계열사의 IT 인프라를 책임질 뿐 아니라 '보안 취약점 진단 및 모의해킹' 솔루션도 제공하고 있다. 이는 내·외부에서 발생할 수 있는 보안 위협을 사전에 도출하고 제거해 IT 서비스의 보안 수준을 높이는 데 목적을 둔다. 이 때문에 모회사인 CJ ENM이 CJ올리브네트웍스로부터 보안성 검토를 받아왔다면, 자회사인 티빙이 굳이 외부 기관에 정기 보안 감사를 맡길 필요가 있었느냐는 의문이 제기된다.

IT업계에서는 평상시 보안 관리와 사고 대응 주체가 다르면 위기 상황에서 혼선을 키울 수 있다는 시각도 있다. 특히 B2C(기업과 소비자 간 거래)가 주력이고 자체 보안 역량이 상대적으로 취약한 플랫폼의 경우, 침해사고가 발생하면 대응은 그룹 내 IT 전문 기업에 맡길 수밖에 없는 실정이다.


양사의 협력이 흔들린 사례는 이번이 처음이 아니다. 티빙은 2024년 한국프로야구(KBO) 리그 3년 독점 중계권을 확보한 뒤 CJ올리브네트웍스에 이를 맡겼다. 당시 국내 프로 스포츠 중계 경험이 부족했던 CJ올리브네트웍스가 대규모 스포츠 스트리밍 운영 과정에서 시행착오를 겪으면서 티빙은 여론의 뭇매를 맞았다. 네이버와 달리 중계 유료화를 선언하던 상황에서 기술적 미숙함까지 드러나자 불만이 터진 것이다.

티빙은 당시 CJ올리브네트웍스와의 계약 관계를 정리하고 외부 업체인 '앵커'와 협력 체계를 구축했다. 현재도 티빙의 KBO 외주 업체엔 CJ올리브네트웍스가 없다. KBO 중계를 둘러싼 양사의 이견이 누적되면서 보안 분야에서도 독자 노선을 택한 것 아니냐는 시각도 나온다. 다만 티빙의 모회사 CJ ENM은 "양사 간 불협화음은 없다"는 입장이다.


IT업계 관계자는 "CJ올리브네트웍스가 외부 매출도 아직 많지 않은 상황에서 티빙으로부터 수주하는 사업이 적은 것은 달갑지 않을 것"이라며 "현재는 워낙 위기 상황이라 양사가 협업 중이지만, 모회사와 다르게 CJ올리브네트웍스와 각을 세웠던 과거는 일반적이지 않은 것으로 보인다"고 말했다.