비트코인 거래소 '빗썸' 어이 없는 해킹사고..과징금 4350만원 부과

김현아 입력 2017. 12. 12. 16:20 수정 2017. 12. 12. 17:13
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[이데일리 김현아 기자] 가상화폐 비트코인 거래소인 빗썸에서 발생한 해킹 사고로 최소 3만6487건의 개인정보가 외부에 유출된 것으로 확인됐다.

특히 이번 해킹 사건은 직원 PC의 백신 업데이트 미비 같은 기초적인 실수에서 시작된 것으로 나타나 비판을 받고 있다.

방송통신위원회(위원장 이효성)는 12일 빗썸을 운영하는 (주)비티씨코리아닷컴의 개인정보 유출 사고와 관련 과징금 4350만원과 과태료 1500만원을 부과했다. 가상화폐 열풍 속에서 가상화폐 거래소에 부과된 첫 과징금 부과 조치다.

◇직원 PC 백신 업데이트 안하고 침입탐지 시스템도 허술

김재영 방통위 이용자정책국장은 “빗썸의 경우 다른 스타트업에 비해선 보안조치가 상당히 강화돼 있었지만 개인정보를 다루는 직원 PC의 보안 업데이트는 미흡했고, 침입탐지시스템(IDS) 업데이트 역시 소홀한 측면이 있었다”고 말했다.

실제로 빗썸을 운영하는 비티씨코리아닷컴은 해커로부터 비트코인을 요구하는 협박메일을 33차례나 받았는데, 해커는 ▲회사와 업무 자문 계약을 맺은 이모씨에게 원격 제어용 악성코드가 포함된 이메일을 발송해 감염시킨 뒤 이모씨 개인 컴퓨터에서 다수의 파일을 유출하면서 개인정보를 빼간 것으로 나타났다.

또 빗썸은 ▲4월 1일부터 6월 29일까지 출처를 알수없는 아이디와 패스워드로 해킹 공격을 받아 4981개 이용자 계정을 탈취해 비트코인을 출금했다. 방통위는 스피어 피싱 공격 및 사전 대입 공격으로 최소 3만6487건(이용자 정보 3만1506건, 웹사이트 계정정보 4981건)의 개인정보가 외부에 유출됐다고 밝혔다.

스피어피싱(Spear phishing)이란 특정한 개인들이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법을 말한다.

◇4가지 법 위반…빗썸은 선처 호소

방통위는 빗썸이 △개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점, △개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점, △백신 소프트웨어 업데이트를 실시하지 않은 점 등 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’) 에서 정한 개인정보 보호조치 규정을 다수 위반한 것으로 봤다.

이에 빗썸 측은 법 위반과 함께 혐의 사실을 모두 인정하면서 피해자에게 1인당 10만원, 약 31억 원을 피해보상했다며 선처를 요구했다.

하지만, 방통위는 과징금 4350만원과 과태료 1500만원을 부과하고 관련자 징계를 권고했다. 또, 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 행정처분을 의결했다.

김석진 상임위원은 “가상화폐에 200만명이 뛰어들어 집단 투기장으로 변하고 6조원이 몰린다는데 이를 거래하는 업체가 개인정보보호에 취약한 건 문제가 크다”며 “그런데 과징금 액수가 너무 적어 솜방망이”라고 지적했다.

방통위 실무자는 “법 규정상 이 액수이상 부과하기 어렵다”면서도 “빗썸은 개인정보 유출이후 아이디와 패스워드뿐 아니라 2차 인증을 도입하고 서버 인증도 강화했다. 현재 가상화폐 거래소의 경우 제도화된 게 없어 금융권 수준의 인증이나 출금 관련 조치를 하진 않지만 금융위, 법무부, 기재부 등과 함께 제도화를 논의하고 있다”고 답했다.

허욱 부위원장은 “빗썸은 비트코인 점유율이 75% 정도 되는 기업”이라며 “투기적 양상을 보인데 대해선 강력한 규제 대책이 필요하나, 비트코인의 기반인 블록체인 기술은 4차 산업혁명의 핵심이니 기술과 산업의 균형잡힌 접근이 필요하다”고 말했다.

이효성 위원장은 “비티씨코리아닷컴은 비트코인을 다룬다는 점에서 개인정보보호에 더 신경써야 한다”며 “비트코인 자체는 저희 영역이 아니니 말하지 않겠다”고 했다.

김현아 (chaos@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?