개인정보유출한 가상화폐거래소 빗썸에 과징금·과태료 5800여만원

[머니투데이방송 MTN 이명재 기자] 가상화폐 거래소 '빗썸'이 대규모 이용자 개인정보 유출 사건으로 과징금 4350만원 등 제재를 받았다.

방송통신위원회는 12일 전체회의를 열어 가상통화 거래사이트 빗썸을 운영하면서 이용자의 개인정보를 유출시킨 (주)비티씨코리아닷컴에 대한 조사결과를 발표했다.

방통위는 이용자 보호조치 규정을 준수하지 않아 생긴 취약점이 해킹에 직간접적으로 악용된 점, 이용자 개인정보 유출과 금전적 피해 발생과 관련해 빗썸 측에 과징금 4350만원과 과태료 1500만원, 책임자 징계 권고 및 시정명령 등 행정처분을 의결했다.

앞서 방통위는 해당 사업자로부터 개인정보 유출신고를 받고 지난 7월부터 한국인터넷진흥원과 함께 현장조사를 실시했으며 사고 관련자료 분석을 통해 해킹의 구체적인 방법, 절차, 개인정보 유출규모 등을 확인했다.

신원 미상의 해커는 비티씨코리아닷컴 직원 채용기간 중 지난 4월 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱 메일을 발송했다.

이를 실행한 A씨는 개인용 컴퓨터가 해당 악성코드에 감염됐으며 해커는 A씨의 컴퓨터에 저장 중이던 개인정보 파일을 포함한 다수 정보를 외부로 유출했다.

전체 접속기록을 분석한 결과 해커는 약 3434개 IP에서 약 2백만번의 사전대입 공격을 수행했으며 이중 4981개 계정은 로그인에 성공해 사용자 계정을 탈취했고 266개 계정의 경우 로그인 성공 후 가상통화 출금 로그가 이뤄진 것으로 드러났다.

이런 방식으로 유출, 탈취된 개인정보는 빗썸 서비스를 운영하면서 수집한 이용자 정보 3만1506건, 빗썸 웹사이트 계정정보 4981건 등 총 3만6487건에 달한다.

방통위는 빗썸이 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점, 개인정보 파일을 암호화하지 않고 개인용 컴퓨터 저장, 백신 소프트웨어 업데이트 미실시 등 개인정보 보호조치 규정을 위반했다고 설명했다.

이효성 방통위원장은 "가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있으므로 관련 사업자들은 시스템 보안조치, 인증절차를 강화하고 이용자들도 피싱, 비밀번호 관리 등을 각별히 유념해야 한다"고 당부했다. 이어 "가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력하고 사업자에 대한 점검도 강화할 것"이라고 말했다.

[머니투데이방송 MTN = 이명재 기자 (leemj@mtn.co.kr)]