국내 주요 암호화폐 거래소 빗썸이 검찰의 발표에 억울함을 호소했습니다. 지난 2017년 발생한 해킹 사건에 대해 고객 정보 유출과 암호화폐 탈취는 무관하다며 오해의 소지가 있다는 항변입니다.
빗썸은 19일 서울 동부지검이 보도자료로 배포한 ‘고객 개인정보 대량 유출 및 해킹사건 관련 개인정보 처리 기업의 보호조치 의무위반사건 수사결과’에 대해 개인정보 유출과 암호화폐 탈취는 별개 사안이라고 해명에 나섰습니다.
빗썸은 우선 지난 2017년에 발생한 고객 정보 유출 사건에 사과 의사를 밝히며 재판 과정에 성실히 임해 관련 사건이 명확히 밝혀질 수 있도록 적극 협조하겠다고 전했습니다.
빗썸 측은 “검찰은 당사 개인정보 유출로 인해 회원들의 암호화폐가 탈취된 것으로 판단하고 있으나 개인정보 유출과 회원의 암호화폐 탈취는 전혀 관련성이 없다”며 “사전대입공격은 해커가 여러 사이트에 가입한 사용자들의 접근 경로를 통해서 아이디와 비밀번호를 탈취하고 사전(Dictionary)에 정리해 로그인을 시도하는 공격이며 빗썸 외에도 다른 사이트에서 흔하게 발생하는 공격 형태”라고 주장했습니다.
이어 “만약 고객정보 3만여건을 탈취한 해커가 빗썸 사이트를 사전대입 공격한 해커와 동일인이라면 탈취 피해가 막대할 것으로 예상된다”며 “하지만 당시 개인정보 유출과 직접 관련된 암호화폐 탈취 피해는 거의 없는 상황”이라고 말했습니다.
또한 “유출된 개인정보(이름, 휴대폰, 이메일)로 로그인을 하더라도 암호화폐를 출금하는 것은 불가능하다”며 “당사는 암호화폐 무단 출금을 방지하고자 암호화폐 출금시 회원 명의로 된 휴대폰 수신 인증 번호나 OTP인증을 요구하는 등 보호조치를 취하고 있다”고 암호화폐 탈취와 무관함을 강조했습니다.
빗썸은 검찰이 개인정보 유출과 암호화폐 탈취 과정에서 고객보호조치를 미이행했다는 발표에는 당시의 조치를 조목조목 언급하기도 했습니다. 사고가 발생한 것을 인지하자마자 방송통신위원회, 한국인터넷진흥원(KISA), 수사기관에 즉각 신고하고 개인정보대책센터를 별도 운영하는 등 관련 상황과 후속조치에 적극적으로 임했다는 것입니다.
세부적으로 IPS, WAF 등 침입차단 및 탐지 시스템 강화를 비롯해 개인정보 암호화 등 문서보안 강화, 백신프로그램 상시 업데이트, 외부 저장매체 통제 현황 및 개인정보 출력물 통제 강화 등의 조치를 실시했고 이상 없이 이행하고 있음을 관계 기관에 확인받았다고 덧붙였습니다.
이밖에 회원들이 소송 등 법적 절차를 밟지 않음에도 개인정보 유출 피해를 입은 3만여명의 회원들 모두에게 1인당 10만원의 보상금을 지급한 사실도 거론했습니다. 해당 금액은 개인정보유출 사고로 인해 피해자들이 소송을 통해서 판결로 확정 받을 수 있는 최대 금액에 상응하는 보상이라는 설명입니다.
빗썸 측은 “검찰은 당사가 사고 이후 비정상적 접속 탐지 및 차단조치를 미이행했다지만 즉각적인 사후조치 실시와 방송통신위원회, KISA의 확인까지 받았다”며 “오해의 소지가 있는 부분은 향후 재판 진행과정에서 성실히 소명할 것이며 앞으로 고객 자산의 안전한 보호를 위해 총력을 다하겠다”고 전했습니다.
한편 서울동부지검 사이버수사부(김태은 부장검사)는 이날 빗썸의 개인정보 관리를 맡았던 A(42)씨를 정보통신망법 위반 혐의로 불구속 기소한 사실을 전하며 빗썸의 문제 사항들을 열거했습니다.
검찰에 따르면 해당 사고는 직원의 개인용 PC가 악성 코드에 해킹 당해 저장된 고객 개인정보 파일 약 3만1000건이 유출된 사건입니다. 유출된 정보는 고객 이름과 전화번호의 개인 정보와 암호화폐 거래내역도 포함됐습니다. 해커가 이를 활용해 고객 보유 암호화폐 약 70억원을 빼돌렸다고 검찰은 판단했습니다.
여기에 빗썸이 고객 정보를 암호화하지 않은 채 개인 PC에 저장했다며 악성 프로그램 방지용 백신조차 설치하지 않은 점 등을 추궁하며 개인정보 유출 책임을 돌렸습니다. 동일 IP에서 과다 접속과 같은 비정상적인 접속이 이어졌으나 차단조치에도 소홀했다는 것입니다.
만약 재판 과정에서 한쪽의 입장이 일방적 견해로 드러날 경우 검찰의 강압 수사 내지 빗썸의 첵임 회피 논란으로 불붙을 가능성이 농후합니다. 업계 일각에서는 빗썸이 이례적으로 억울함을 호소한 부분에 주목하고 있습니다. 검찰의 발표가 사실 관계에서 벗어났다면 정부의 암호화폐 산업에 대한 부정적 입김이 작용했다는 판단입니다.
검찰은 이날 빗썸 외에도 숙박 중개업체 여기어때, 여행 알선업체 하나투어 법인과 책임자들을 같은 혐의로 불구속 기소하고 재판에 넘겼다고 전했습니다.