가상화폐 거래소에 대한 정부의 첫 제재가 나왔다. 해커의 공격 대상이 된 거래소의 개인정보 보호 조치가 미흡해 관련 법안을 위반한 점이 제재 이유다.
방송통신위원회는 12일 전체회의를 열고 가상통화 거래사이트 ‘빗썸’을 운영하면서 이용자의 개인정보를 유출한 비티씨코리아닷컴에 과징금과 과태료 처분을 의결했다.
비티씨코리아닷컴은 미상의 해커의 공격을 통해 개인정보를 유출했다. 방통위는 비티씨코리아닷컴의 신고를 받고 지난 7월부터 한국인터넷진흥원과 현장조사를 실시했다.
■ 빗썸 회원 개인정보 유출, 어떻게 이뤄졌나
조사 결과에 따르면, 미상의 해커는 비티씨코리아닷컴의 직원 채용기간 중 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부해 스피어피싱 메일을 발송했다. 이를 실행한 A씨의 개인용 컴퓨터가 해당 악성코드에 감염됐다.
악성코드에 감염된 A씨의 개인용 컴퓨터에는 비티씨코리아닷컴 직원으로부터 이메일로 전송받은 빗썸 회원의 개인정보 관련 파일이 저장돼 있었다. 해커는 이 파일을 외부로 유출했다.
방통위와 인터넷진흥원은 해당 파일에 포함된 이용자 정보와 가상통화 무단 출금 사고로 민원을 제기한 이용자 정보가 일치하지 않음을 확인하고, 추가적인 해킹여부를 파악하기 위해 지난 4월부터 약 세달 간의 전체 접속기록을 분석했다.
추가 조사 결과 미상의 해커는 약 3천434개 IP에서 약 2백만번의 사전대입공격을 수행했다. 이 가운데 4천981개 계정은 로그인에 성공해 사용자 계정이 탈취됐고 266개 계정은 로그인 성공 후 가상통화 출금 로그가 이뤄진 사실이 확인됐다.
■ 빗썸은 어떤 법을 위반했나
두 건의 공격을 통해 해커에게 탈취된 개인정보는 ‘빗썸’ 서비스를 운영하면서 수집한 이용자 정보 3만1천506건과 ‘빗썸’ 웹사이트 계정정보 4천981건 등 총 3만6천487건으로 파악됐다.
조사과정에서 비티씨코리아닷컴은 ▲개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점 ▲개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점 ▲백신 소프트웨어 업데이트를 실시하지 않은 점 등 정보통신망법에서 정한 개인정보 보호조치 규정을 다수 위반한 것으로 나타났다.
방통위는 이같은 보호조치 규정을 준수하지 않아 발생한 취약점이 해킹에 직간접적으로 악용된 점, 해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 중점적으로 고려했다.
이에 따라 비티씨코리아닷컴에 대해 과징금 4천350만원, 과태료 1천500만원, 책임자 징계권고, 위반행위의 중지와 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등의 행정처분을 내렸다.
■ 가상화폐 관련 제재, 보다 엄격해진다
방통위는 현행 정보통신망법에 따라 비티씨코리아닷컴의 최근 3년간의 평균매출액을 기준으로 과징금 기준금액을 산정했다. 하지만 법 규정에 따른 과징금 액수가 사회적인 경각심이 필요한 가상화폐 관련 사업에 부족하다는 지적이 제기됐다.
김재영 방통위 이용자정책국장은 “과징금 산정기준이 이용자와 매출이 급성장하는 기업에 대한 제재로 적절하지 않다는 지적을 반영해 향후 정보통신망법을 개정하고 개인정보 유출기업에 대해 부과하는 과징금 금액을 상향할 계획”이라며 “관련 사항은 제4기 방통위 정책과제로도 발표된 부분이다”고 말했다.
관련기사
- 암호화폐 거래에도 세금 매길 수 있나2017.12.12
- 암호화폐로 쏠린 눈...산업 키우는 규제 방안 찾아야2017.12.12
- "블록체인, 안전하다는 환상 버려야"2017.12.12
- 보이스피싱, 비트코인도 노린다2017.12.12
이효성 방통위원장은 “가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있기 때문에 관련 사업자는 시스템 보안조치와 인증절차를 강화할 필요가 있고 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다”고 강조했다.
이어, “방통위는 가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것”이라며 “관련 사업자에 대한 점검을 강화해 나가겠다”고 덧붙였다.