韩国OTT平台Tving发生个人信息泄露事件，且泄露信息中包含联接信息（CI）等敏感数据，引发外界对二次侵害风险的关注。

据Tving及相关行业消息，身份不明的黑客近日未经授权访问了Tving用户个人信息数据库，并导出客户信息文件。泄露内容包括会员ID、出生年月日、性别、手机号、电子邮箱、退款账户信息、密码、联接信息（CI）以及重复注册确认信息（DI）等。

Tving表示，公司于本月1日发现事故后，已第一时间向主管部门报案，并采取了封禁攻击者IP、调整云端访问控制策略、加强数据库访问监控等措施。

CI泄露引发冒名使用风险担忧

由于此次泄露涉及高风险信息CI，业界普遍认为有必要尽快拿出针对性的应对方案。CI是在网络实名认证过程中生成的唯一识别值，可在不直接使用居民登记号码的情况下，用于跨平台确认是否为同一用户，因此被视为高度敏感信息。

争议的焦点在于，CI不同于密码，用户无法自行更改。安全业界认为，这起事件的风险不应仅被视为账号信息泄露，后续还可能演变为更长期的个人信息侵害问题。仅凭CI本身，未必会立刻造成扣费或开立金融账户等直接损失；但若与其他个人信息结合，便可能被用于识别、追踪特定个人，甚至被用于冒名使用。

Dongguk University国际信息保护研究生院教授Hwang Seok-jin表示，CI是实名认证机构基于实名信息生成的唯一识别值，可用于在其他网站或服务中确认是否为同一人。如果与姓名、手机号、邮箱等信息结合使用，就可能发展为冒名使用，因此属于高度敏感信息。

他还指出，从攻击者角度看，如果进一步拼接更多个人信息，语音诈骗或短信钓鱼的形态也可能从“广撒网式垃圾信息”升级为针对特定个人的定向攻击，因此有必要对事故迹象和实际受害规模展开细致核查。

韩国多部门启动调查

韩国科学技术信息通信部和韩国互联网振兴院（KISA）表示，在Tving于1日报告遭入侵事件后，已立即要求保全相关资料，并着手调查事故原因及损失规模。3日，相关机构召开紧急调查审议委员会，认定该事件属于重大事件，并组建政企联合调查组。

该联合调查组由韩国科学技术信息通信部、韩国互联网振兴院（KISA）以及数字取证、云服务等领域的民间专家组成，将重点核查黑客入侵路径、个人信息泄露规模，以及Tving在技术和管理层面的信息保护措施是否落实到位。CI等高风险信息的存储与管理方式、加密措施以及访问权限控制是否有效，也将成为调查重点。

韩国个人信息保护委员会也已介入调查。该机构表示，于3日凌晨2时收到Tving提交的泄露报告，并于4日正式启动调查。后续将通过要求提交资料和现场检查等方式，核查具体泄露经过、受害规模，以及是否遵守《个人信息保护法》中有关安全措施、泄露通报和报告义务等规定。如发现违法事项，将依法严肃处理。

韩国广播通信委员会同样采取行动，于4日对Tving展开紧急检查。此前，Lotte Card被黑客入侵事件中的CI泄露问题也曾引发广泛争议。韩国广播通信委员会今年4月认定，Lotte Card未履行联接信息安全措施义务，决定处以1125万韩元罚款，并提出整改建议。Lotte Card事件中泄露的CI规模约为129万条。报道称，考虑到Tving付费用户规模估算约为500万人，其CI泄露规模或高于Lotte Card事件。目前，Tving仍在核实准确的泄露规模。

安全业界：仅靠事后补救难以遏制损失扩大

安全业界指出，黑客攻击事件频发，如果仍主要依赖“事后补救”式应对，难以真正遏制损失进一步扩散。仅在事故发生后推进调查、处罚和防再发措施，本身就存在明显局限。尤其是OTT等平台型服务掌握大量个人信息，更需要常态化运行加密、访问权限控制和异常迹象检测体系。

Ajou University前网络安全学系教授Park Chun-sik表示，当务之急是提升企业管理层的安全意识；政府除加强监管外，也应积极配套支持企业提前进行安全加固投入和制度建设。

另一方面，Tving以CEO Choi Ju-hee名义发布致歉声明，承诺将采取彻底的后续措施。Choi Ju-hee表示，未能保护好用户托付的信息，责任完全在Tving。公司将透明公开事件进展和后续措施，切实落实损失救济和用户保护安排，并承担相应责任。