보이스피싱, 비트코인도 노린다

빗썸 정보유출…경찰 "직원 사칭, 인증번호 편취"

인터넷입력 :2017/07/04 14:31

가상화폐거래소 빗썸이 회원 개인정보 유출 사고를 당했다. 사고는 유출된 개인정보 당사자의 비트코인을 노린 보이스피싱 피해로 이어졌다. 실제 현금이 아니라 비트코인같은 가상화폐도 보이스피싱의 표적이 될 수 있음을 보여 준 사례다.

빗썸은 4일 현재 웹사이트 공지를 통해 개인정보 유출 사고 발생 사실을 밝히고 회원들에게 개인정보 유출 확인 기능을 제공하고 있다. 또 별도 공지를 통해 "최근 운영자를 사칭하여 고객님의 PC 비밀번호, SMS/OTP 인증번호를 문의, 고객 정보를 탈취하려는 피싱 사례가 있다. 빗썸은 어떠한 경우에도 OTP 및 비밀번호를 문의하지 않는다"며 "절대 응대하지 말고 즉시 신고해주기 바란다"고 안내 중이다.

해당 사고 발생 사실은 앞서 지난 3일 오전 경찰청 사이버안전국 발표를 통해 확인됐다. 이날 사이버안전국은 빗썸을 '비트코인, 이더리움 등의 가상화폐 거래소 OO'로 지칭하고 여기서 "회원 개인정보가 다량 유출되었다"며 "유출된 개인정보(이메일, 휴대전화 번호)를 이용한 피해가 발생하는 등, 가상화폐 계좌 명의자를 타겟으로 한 해킹·피싱 등 신종 범죄 예방에 각별한 주의가 필요하다"고 발표했다.

2017년 7월 4일 현재 가상화폐거래소 빗썸 웹사이트 개인정보유출조회 겸 공지

사이버안전국 발표 내용에 따르면 범죄자의 수법은 빗썸이 안내한 주의사항 그대로다. 범죄자는 빗썸 직원을 사칭했다. 피해자에게 연락해 '고객의 계정이 해킹 당했다, 해킹으로 인한 해외출금만은 막아야 한다'고 속인 뒤 인증번호를 요구했다. 이렇게 피해자를 속이고 그가 소유한 비트코인을 거래소에서 매도·송금해 편취, 피해를 입혔다.

빗썸 측은 정보 유출 사고가 발생했지만, 회사가 운영해 온 가상화폐거래 시스템 인프라의 보안 문제는 아니란 입장이다. 빗썸의 개인정보 유출조회 공지에 따르면 이 사고는 "빗썸의 서버 및 가상화폐 지갑과는 무관한 빗썸 직원의 개인 PC에 대한 외부 침해 사례로 발생"했다. 직원의 PC에는 전체 회원의 3% 규모인 "일부 회원의 일부 개인정보(핸드폰번호, 이메일주소)가 저장되어 있었던 것으로 확인"됐다.

관련기사

빗썸은 유출 개인정보를 이용한 보이스피싱/운영자사칭/이메일을 통한 악성코드 유포 등으로 발생할 수 있는 2차 피해를 차단하기 위해 개인정보 유출 의심계정에 대한 출금정지 조치를 취했다고 밝혔다. 사고확산을 막기 위해 방송통신위원회와 한국인터넷진흥원(KISA)에 신고 및 공조, 피의자 검거와 피해방지를 위해 대검찰청과 공조하고 있다고 덧붙였다.

빗썸 측은 "회원님의 비밀번호/계좌번호 등의 정보는 모두 암호화되어 빗썸 내부 보안망 서버에만 저장되므로, 원천적으로 유출이 불가능하다"며 "빗썸 회원님들의 모든 원화 및 가상화폐 예치금은 안전하게 보관 되어 있으며 …(중략)… 추가적으로 예치금의 안전한 보관을 확인시켜 드리고자 독립된 회계 법인사와 예치금 실사를 진행중이며, 완료되는대로 공개"하겠다고 예고했다.