이효성 방송통신위원회 위원장이 12일 오후 경기도 과천시 정부과천청사 방송통신위원회 회의실에서 열린 2017년 제45차 전체회의를 주재하고 있다.  2017.12.12/뉴스1 © News1 오장환 기자

개인정보를 유출한 국내 최대 가상화폐거래소 '빗썸'을 운영하는 비티씨코리아닷컴에 대해 과징금 4350만원과 과태료 1500만원 등 총 5850만원을 부과했다. 가상화폐 관련 사업자에 대한 정부의 첫 제재다. 

방송통신위원회는 12일 열린 전체회의에서 비티씨코리아닷컴의 개인정보 보호조치 규정 위반 사실을 확인하고 4350만원의 과징금과 1500만원의 과태료, 책임자 징계 권고와 재발방지대책 수립 시정명령 등의 행정처분을 내리기로 의결했다.방통위에 따르면 미상의 해커가 비티씨코리아닷컴이 직원 채용을 뽑고 있던 시기인 올 4월 28일 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 '스피어피싱' 메일을 발송했고 이를 실행한 A씨의 개인용 컴퓨터가 악성코드에 감염됐다. 

해커는 A씨의 컴퓨터에 보관된 '2017년 회원관리 정책' 등 개인정보가 포함된 다수의 파일을 빼돌린 것으로 확인됐다.

또 방통위는 유출된 파일에 포함된 이용자 정보와 가상통화 무단 출금 사고로 민원을 제기한 이용자 정보가 일치하지 않다는 사실을 확인하고 추가적인 해킹여부를 파악하기 위해 올 4월1일부터 6월29일까지 해커의 전체 접속기록을 분석했다. 그 결과 미상의 해커가 약 3434개 IP에서 약 200만번의 '사전대입공격'을 수행했고 이중 4981개 계정은 로그인에 성공해 사용자 계정이 탈취된 것으로 확인됐다. 특히 266개 계정은 로그인 성공 후 가상통화 출금 로그까지 이뤄진 것으로 드러났다. 사전대입공격은 공격자가 사전에 확보한 ID·PW 정보 또는 일반적으로 흔히 사용되는 정보파일을 가지고 프로그램을 통해 하나씩 대입시켜 보는 방법이다. 

방통위에 따르면 해커는 두 건의 공격을 통해 '빗썸' 이용자 정보 3만1506건과 웹사이트 계정정보 4981건 등 총 3만6487건을 탈취했다.

방통위는 비티씨코리아닷컴이 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 보관하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법 유출 시도 탐지를 소홀히 한 점 등이 정보통신망법을 위반했다고 결론냈다.

이효성 방통위원장은 "가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있으므로, 관련 사업자는 시스템 보안조치 및 인증절차를 강화할 필요가 있다"며 "이용자들도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다"고 당부했다.

그러면서 "방통위는 가상통화 취급업자에 대한 규제법안이 별도로 마련되기전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것"이라며 "관련 사업자에 대한 점검을 강화해 나가겠다"고 덧붙였다.


ickim@news1.kr