비티씨코리아닷컴이 운영하는 암호화폐 거래소 빗썸. 이미지=김병철
비티씨코리아닷컴이 운영하는 암호화폐 거래소 빗썸. 출처=김병철

검찰이 지난 2017년 발생한 3만 1000여 건에 달하는 고객 개인정보 유출 사고의 책임을 물어 암호화폐 거래소 빗썸을 재판에 넘겼다.

서울동부지검 사이버수사부(김태은 부장검사)는 빗썸, 여기어때, 하나투어 등 3개 회사 법인과 개인정보 관리 책임자들을 각각 정보통신망법 위반 혐의로 불구속기소를 했다고 19일 밝혔다.

2017년 6월 29일 빗썸은 당시 회사 감사였던 이아무개(42)씨의 개인용 컴퓨터(PC)가 악성코드에 감염돼 해당 PC에 보관 중인 고객 개인정보가 기록된 문서파일이 유출됐다. 이 사고로 이름, 이메일, 핸드폰 번호, 거래량, 거래금액 등 고객 개인정보 3만1506건이 유출됐다. 여기에 해커의 사전대입 공격으로 빗썸 홈페이지 아이디(ID)와 패스워드 등 총 3만6487건의 정보도 빠져나갔다. 이 과정에서 고객 보유 암호화폐 약 70억 원가량도 사라졌다. 같은 해 12월 방송통신위원회는 빗썸에 대해 과징금 4350만 원과 책임자 징계권고, 재발방지대책 수립 등 행정처분을 의결했다.

검찰은 이씨가 고객 개인정보를 암호화하지 않은 채 개인 PC에 저장하고, 악성코드를 방지할 수 있는 백신을 설치하지 않는 등 개인정보 유출 책임이 크다고 판단했다. 또 암호화폐 유출과 관련해서는 "동일 IP에서 과다 접속 등 비정상적인 접속이 계속 이뤄졌음에도 차단조치를 하지 않았다"고 지적했다.

빗썸은 이날 해명자료에서 유출된 개인정보로 암호화폐 출금은 불가능하다고 항변했다.

"검찰이 개인정보 유출로 인해 회원들의 암호화폐가 탈취된 것으로 판단하고 있지만, 개인정보 유출과 암호화폐 탈취는 전혀 관련성이 없다. 빗썸은 암호화폐의 무단 출금을 방지하기 위해 암호화폐 출금 시 회원 명의로 된 휴대폰으로 수신된 인증번호나 OTP인증을 요구하는 등 보호조치를 취하고 있다." - 빗썸

빗썸은 검찰의 고객보호조치 미비와 후속 조치 미이행 관련해서도 혐의를 부인했다.
"2017년 사고 인지 후 방송통신위원회, 한국인터넷진흥원(KISA), 수사기관에 즉시 신고 및 개인정보대책센터를 별도로 운영했다. 또한 침입방지시스템(IPS), 웹애플리케이션방화벽(WAF) 구축, 문서보안 강화, 백신 프로그램 상시 업데이트, 개인정보 출력물 통제 등 후속 조치를 실시하고 있다. 향후 진행 과정에서 일부 오해의 소지가 있는 부분에 대해서는 성실히 소명하겠다."

검찰은 "기업들이 개인정보 유출 사고가 발생했을 때 수동적으로 해킹 피해를 호소하는 것을 넘어 통합보안 솔루션 도입과 정보보안 인력 등을 강화해 고객정보 보호 의무를 철처히 해야한다"며 "개인정보 유출 사범은 물론 개인정보처리 기업의 보호조치 의무 위반에 대해서도 철저히 수사하고 엄정 처분할 예정"이라고 강조했다.
제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지