[컨슈머와이드-민형기 기자] 가상통화 거래사이트 빗썸이 이용자의 개인정보 유출로 제재를 받았다. 빗썸에서 유출된 개인정보만 이용자 정보 3만1506건과 ‘빗썸’ 웹사이트 계정정보 4981건 등 총 3만6487건이었다.

방송통신위원회(방통위)는 지난 12일 전체회의를 개최하고 빗썸을 운영하면서 이용자의 개인정보를 유출한 비티씨코리아닷컴에 대해 과징금 및 과태료 등의 처분을 했다고 밝혔다.

13일 방통위에 따르면, 미상의 해커가  비티씨코리아닷컴의 직원 채용기간 중 지난 4월 28일 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱 메일을 발송했고 이를 실행한 A씨의 개인용 컴퓨터가 해당 악성코드에 감염됐다. 스피어피싱(Spear phishing)이란 특정한 개인들이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법을 말한다.

미상의 해커는 악성코드에 감염된 A씨의 개인용 컴퓨터에서  4월 16일 A씨가 직원B씨로 부터 이메일로 전송받아 저장 중이던 개인정보 파일(“2017년 회원관리 정책.xlsx”)을 포함한 다수의 파일을 외부로 유출한 것으로 확인됐다. 해당 파일은 직원C씨가 지난해년 2월 26일부터 올해 7월 15일까지 총 560여 차례 서버에서 추출해 낸 자료로 작성한 것들이다.

또한 미상의 해커는 약 3434개 IP에서 약 2백만 번의 사전대입공격을 수행해 이 중 4981개 계정 로그인에 성공, 사용자 계정을 탈취했다.  266개 계정은 로그인 성공 후 가상통화 출금 로그가 이루어진  것으로 확인됐다. 사전대입공격(Dictionary Attack)이란 공격자가 사전에 확보한 ID/PW 정보 또는 일반적으로 흔희 사용되는 정보파일을 가지고 프로그램을 통해 하나씩 모두 대입시켜 보는 방법을 말한다.

이 2건의 공격을 통해 해커에게 유출 및 탈취된 개인정보는, ‘빗썸’ 서비스를 운영하면서 수집한 이용자 정보 3만1506건과 ‘빗썸’ 웹사이트 계정정보 4981건 등 총 3만6487건으로 파악됐다. 

이같이 해커의 공격이 가능했던 것은  비티씨코리아닷컴의 허술한 보안 때문인 것으로 드러났다. 방통위 조사결과  비티씨코리아닷컴은 ▲개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점▲개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점▲백신 소프트웨어 업데이트를 실시하지 않은 점 등  정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 에서 정한 개인정보 보호조치 규정을 다수 위반한 것으로 나타났다.

방통위는  비티씨코리아닷컴에 대해 ▲과징금 4350만원▲과태료 1500만원▲책임자 징계권고▲위반행위의 중지 및 재발방지대책 수립 시정명령▲시정명령 처분사실 공표 등 행정처분을 의결했다.

이효성 방통위원장은 “가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있으므로, 관련 사업자는 시스템 보안조치 및 인증절차를 강화할 필요가 있고 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념하여야 한다”며“방통위는 가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다”고 밝혔다.