검찰, 빗썸 외 여기어때ㆍ하나투어 정보통신망법 위반 혐의로 기소
“입사 지원합니다. 첨부된 이력서를 확인해 주세요.”
2017년 4월 암호화폐 거래소 빗썸 설립자이자 실제 운영자였던 이모(42)씨는 회사 이메일로 한글 파일을 하나 받았다. 당시 빗썸은 비트코인 광풍을 타고 급성장하고 있었다. 조직이 확대되면서 신규 인력 채용도 수시로 진행됐다. 그래서 별 다른 의심 없이 ‘이력서.hwp’란 제목의 파일을 내려 받았다. 평범한 입사지원서를 가장했으나, 실은 해킹프로그램을 숨겨둔 악성 파일이었다.
파일을 보낸 해커는 이 프로그램을 이용해 이씨 컴퓨터에 저장된 이름, 전화번호, 이메일 주소, 거래내역 등 이씨와 고객들 개인 정보 3만1,000여건을 가로챘다. 해커는 그 다음달부터 5개월간 ‘사전 대입 공격’에 들어갔다. 사전 대입 공격이란 아이디와 암호를 설정할 때 생년월일이나 전화번호처럼 익숙한 숫자나 문자를 선호하는 경향을 이용한 해킹 기법이다. 이렇게 새나간 정보로 빗썸의 200여개 계정에서 암호화폐 70억원이 털렸다.
서울동부지검 사이버수사부(부장 김태은)는 개인정보 관리에 소홀했던 이씨와 빗썸 법인을 정보통신망법 위반 혐의로 불구속 기소했다고 19일 밝혔다.
이처럼 털린 건 빗썸 측의 대응부실 때문이다. 정보통신망법은 고객 정보를 개인 PC에 보관하지 못하도록 해뒀지만, 이씨는 암호화도 하지 않은 채 고객 개인정보를 자신의 컴퓨터에 보관했다. 악성프로그램을 막아낼 보안업데이트는 물론, 백신프로그램조차 없었다.
여기다 동일 IP의 과다접속이 발생하는 등 비정상적 상황이 이어졌음에도 이를 무시했다. 고객들이 해킹당한 것 같다고 신고해도 피해 상황 전파와 공유, 관계기관 신고 등의 절차를 밟지 않았던 것으로 조사됐다. 검찰은 회원수 71만명, 연매출 1,900억원에 이르는 국내 최대 암호화폐 거래소답지 못한 대응이라 봤다. 70억원의 피해를 안긴 해커 일당은 검찰이 여전히 추적 중이다.
이에 대해 빗썸 측은 “개인정보 유출과 회원의 암호화폐 탈취는 관련성이 없으며, 2017년 사고 인지 이후 방송통신위원회 등에 즉시 신고했을 뿐 아니라, 이후 시스템 강화 등 후속조치도 실시했다”며 “검찰의 기소 의견은 존중하지만 재판에서 사실 관계를 다퉈 보겠다”고 밝혔다.
검찰은 이씨와 함께, 개인정보 330만건이 유출된 숙박 중개업체 ‘여기어때’의 장모(41) 부사장, 개인정보 49만건이 유출된 여행사 하나투어의 김모(47) 본부장도 함께 기소했다. 검찰이 이처럼 해킹 관련 사건을 한데 기소한 것은 경각심을 주기 위해서다. 검찰 관계자는 “기업이 개인정보 해킹에 대해 ‘우리도 당했다’는 식으로 피해를 호소하기보다 고객 보호 조치 등 회사가 할 수 있는 의무를 다하려는 계기가 됐으면 한다”고 말했다.
박진만 기자 bpbd@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0