방송통신위원회가 가상통화거래소 빗썸을 운영하는 비티씨코리아닷컴에 개인정보보호조치 규정 위반 과징금 4350만원, 과태료 1500만원 등 행정처분을 내렸다.
방송통신위원회(위원장 이효성) 12일 전체회의를 열어 비티씨코리아닷컴이 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 정한 개인정보 보호조치 규정을 다수 위반했다고 밝혔다. 방통위는 과징금과 과태료 외에 책임자 징계권고, 위합행위 중지와 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 행정처분을 의결했다.
방통위는 비티씨코리아닷컴이 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적 개인정보 유출 시도 탐지를 소홀히 했다고 분석했다. 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장했으며 백신 소프트웨어 업데이트도 하지 않았다.
방통위는 비티씨코리아닷컴이 보호조치 규정을 준수하지 않아 취약점이 생겼고 해킹에 직간접적으로 악용됐다고 봤다. 해킹으로 이용자 개인정보가 유출되고 금전 피해가 발생했다.
방통위는 비티씨코리아닷컴으로부터 개인정보 유출신고를 받고 지난 7월 1일부터 한국인터넷진흥원(KISA)과 함께 현장조사를 했다. 해커는 비티씨코리아닷컴 직원 채용 기간 중 4월 28일에 회사와 자문계약관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부해 스피어피싱을 시도했다. A씨 개인용 PC가 악성코드에 감염됐다.
해커는 A씨 PC에서 회원관리 정책이라는 이름의 개인정보 파일을 포함한 다수 파일을 외부로 유출했다. 방통위와 KISA는 해당 파일에 포함된 이용자 정보와 가상통화 무단 출금 사고로 민원을 제기한 이용자 정보가 일치하지 않음을 확인했다. 추가 해킹여부를 파악하기 위해 4월 1일부터 6월 29일까지의 전체 접속기록을 분석했다. 이 결과 해커가 3434개 IP에서 약 200만번의 사전대입공격을 했다. 이 중 4981개 계정은 로그인에 성공해 계정이 탈취됐다. 266개 계정은 로그인 성공 후 가상화폐 출금까지 이뤄졌다. 두 건의 공격으로 해커에게 유출·탈취된 개인정보는총 3만6247건으로 파악됐다.
방통위는 정보통신망법에 따라 비티씨코리아닷컴의 2014년부터 2016년까지 3년간 평균매출액(20억7200만원)을 기준으로 과징금 기준금액을 산정했다. 하지만 산정기준이 이용자와 매출이 급성장하는 기업에 대한 제재로 적절하지 않다는 지적을 반영해 향후 정보통신망법을 개정해 개인정보 유출기업에 부과하는 과징금 금액을 높일 계획이다.
이효성 방통위원장은 “가상통화 투기와 취급사이트에 대한 해킹 등 여러 문제가 발생해 관련 사업자는 시스템 보안과 인증절차를 강화해야 한다”면서 “이용자도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다”고 당부했다. 이 위원장은 “방통위는 가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력한다”면서 “관련 사업자에 점검을 강화하겠다”고 밝혔다.
<개인정보 유출 상세 내역>
김인순 보안 전문기자 insoon@etnews.com