[그린포스트코리아 조규희 기자] 비트코인, 비트코인캐시, 이더리움 등 가상화폐를 거래하는 대표적 가상화폐 거래소인 빗썸에 과징금과 과태료가 부과됐다. 지난 여름 발생한 개인정보 유출사고에 대한 책임을 물은 것이다. 그러나 과징금과 과태료 규모가 다소 낮다는 지적에 따라 향후 정보통신망법을 개정할 것으로 보인다.

방송통신위원회는 12월 12일 전체회의를 열고 가상통화 거래소 빗썸을 운영하면서 이용자의 개인정보를 유출한 비티씨코리아닷컴에 대한 조사결과를 발표하고 과징금과 과태료 등을 부과했다.

방통위는 해당 사업자로부터 개인정보 유출신고를 받고 지난 7월 1일부터 한국인터넷진흥원(KISA)과 함께 현장조사를 실시해 확보한 사고 관련자료 분석을 통해 해킹의 구체적인 방법과 절차, 개인정보 유출규모 등을 확인했다. 방통위와 KISA는 추가적인 해킹여부를 파악하기 위해 4월 1일부터 6월 29일까지의 전체 접속기록을 분석했다. 
 
방통위는 "미상의 해커가 비티씨코리아닷컴 직원 채용기간 중 4월 28일에 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱 메일을 발송했으며, 이를 실행한 A씨의 개인용 컴퓨터가 해당 악성코드에 감염됐다"고 사건의 경위를 밝혔다.

스피어피싱(Spear phishing)이란 특정 개인이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법이다.

미상의 해커는 4월 16일 악성코드에 감염된 A씨의 개인용 컴퓨터에서 A씨가 직원B씨로 부터 전송받아 저장 중이던 개인정보 파일('2017년 회원관리 정책.xlsx')을 포함한 다수의 파일을 확보했다. 

파일을 확보한 해커는 3434개의 IP에서 약 200만번의 사전대입공격(사전에 확보한 ID/PW 정보로 프로그램에 하나씩 대입시켜 보는 방법)을 수행했고, 4981개 계정에 로그인해 사용자 계정을 탈취했으며, 266개 계정에서 가상통화를 출금한 사실이 확인됐다.

방통위는 해커에게 유출된 개인정보는 빗썸 서비스를 운영하면서 수집한 이용자 정보 3만1506건과 웹사이트 계정정보 4981건 등 총 3만6487건에 달한다고 덧붙였다.

이번 조사과정에서 빗썸 운영사인 비티씨코리아닷컴은 △개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점 △개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점 △백신 소프트웨어 업데이트를 실시하지 않은 점 등 '정보통신망법'에서 정한 개인정보 보호조치 규정을 다수 위반한 사실이 밝혀졌다.

이에 대해 방통위는 비티씨코리아닷컴에게 △과징금 4350만원 △과태료 1500만원 △책임자 징계권고 △위반행위 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등의 행정처분을 의결했다.

방통위는 현행 정보통신망법에 따라 비티씨코리아닷컴은 14년부터 16년까지 3년간의 평균매출액(20억7200만원)을 기준으로 과징금 기준금액을 산정했다. 그러나 산정기준이 이용자와 매출이 급성장하는 기업에 대한 제재로 적절하지 않다는 지적을 반영해 향후 정보통신망법을 개정해 개인정보 유출기업에 대한 과징금 금액을 상향할 계획이라고 밝혔다. 

이효성 방통위원장은 "가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있다"며 관련 사업자는 시스템 보안조치 및 인증절차를 강화해야 하며, 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다"고 당부했다. "방통위는 가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다"라고 덧붙였다.

khcho@eco-tv.co.kr