방송통신위원회가 개인정보 유출 사고를 일으킨 가상화폐 거래소 빗썸에 대해 과징금 및 과태료 총 5850만원을 부과했다. 정부가 개인정보 보호 소홀 등의 이유로 가상화폐 거래 사이트를 제재한 건 이번이 처음이다.
방통위는 12일 정부과천청사에서 전체회의를 열고 빗썸을 운영하는 비티씨코리아닷컴에 고객 개인정보보호조치 미흡 등의 이유로 과징금 4350만원, 과태료 1500만원을 부과하고 시정명령과 함께 책임자 징계권고 등의 행정처분을 의결했다.
방통위는 “보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직·간접적으로 악용된 점, 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려했다”고 설명했다.
방통위와 한국인터넷진흥원(KISA) 조사 결과 스피어피싱(Spear phishing) 등으로 3만건이 넘는 빗썸의 회원정보가 유출됐다. 스피어피싱이란 특정한 개인들이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법을 말한다.
조사에 따르면 지난 4월 신원미상의 해커가 비티씨코리아의 직원 채용 기간 중 비티씨코리아와 자문계약 관계에 있는 A씨에게 이력서를 가장한 악성코드를 보내면서 개인용 컴퓨터가 감염됐다. 이후 해커는 A씨의 개인용 컴퓨터를 통해 빗썸의 회원정보가 담긴 다수의 엑셀 파일 등을 외부로 유출한 것으로 확인됐다. 이 과정에서 해커는 200만번에 걸쳐 사용자 계정에 불법 접속을 시도했다. 실제 4981개 계정은 접속에 성공했다. 게다가 266개 계정은 해커의 접속 뒤 가상화폐가 출금된 사실도 발견됐다.
방통위는 스피어 피싱 공격 및 사전 대입 공격으로 최소 3만6487건(이용자 정보 3만1506건, 웹사이트 계정정보 4981건)의 개인정보가 외부에 유출됐다고 밝혔다.
아울러 방통위는 비티씨코리아닷컴이 △개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점 △개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점 △백신 소프트웨어 업데이트를 실시하지 않은 점 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 정한 개인정보 보호조치 규정을 다수 위반한 것으로 봤다.
방통위는 현행 정보통신망법에 따라 비티씨코리아닷컴의 2014∼2016년 3년간 평균 매출액(20억7천200만원)을 기준으로 과징금 기준금액을 산정했다.
방통위는 이번 징계가 사안의 중요성을 고려하면 가볍다는 지적과 관련해 “정보통신망법을 개정해 과징금 부과 금액을 상향할 계획”이라고 말했다.
이효성 방송통신위원장은 “가상화폐 투기와 취급 사이트에 대한 해킹 등 여러 문제가 발생하고 있는 만큼 관련 사업자는 보안 시스템과 인증 절차를 강화할 필요가 있고 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다”면서 “앞으로 규제 법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 관련 사업자에 대한 점검을 강화할 것”이라고 강조했다.
