방송통신위원회가 개인정보 유출 사고를 낸 국내 최대 가상화폐 거래소 '빗썸' 운영업체 비티씨코리아닷컴에 과징금 4350만 원, 과태료 1500만 원 처분과 함께 책임자 징계권고를 내렸다. 가상화폐거래사이트에 제재가 가해진 것은 이번이 처음이다. 하지만 정부가 가상화폐 거래 관련 규제를 강화하겠다는 의지와는 달리 '솜방망이 처벌'에 그친 것 아니냐는 지적이 나온다.
방통위는 12일 정부과천청사에서 전체회의를 열고 빗썸을 운영하는 비티씨코리아닷컴에 고객 개인정보보호조치 미흡 등의 이유를 들어 과징금 4350만 원, 과태료 1500만 원을 부과하고 시정명령과 함께 책임자 징계권고 등의 행정처분을 의결했다.
앞서 방통위는 비티씨코리아닷컴으로부터 개인정보 유출신고를 받고 7월 1일부터 한국인터넷진흥원(KISA)과 함께 현장조사를 실시했다. 조사결과 올해 4월 한 해커는 비티씨코리아닷컴의 직원 채용을 담당하는 자문업체 직원 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부해 메일을 발송했고 이를 실행한 A씨의 개인용 컴퓨터는 해당 악성코드에 감염됐다.
이후 해커는 악성코드에 감염된 A씨의 개인용 컴퓨터에서 A씨가 직원B씨부터 이메일로 전송받아 저장 중이던 '2017년 회원관리 정책' 등 개인정보가 포함된 다수 엑셀 파일을 외부로 유출했다.
방통위와 한국인터넷진흥원은 해당 파일에 포함된 이용자 정보와 가상통화 무단 출금 사고로 민원을 제기한 이용자 정보가 일치하지 않음을 확인하고, 추가적인 해킹여부를 파악하기 위해 올해 4월 1일부터 6월 29일까지의 전체 접속기록을 분석했다.
그 결과 미상의 해커가 약 3434개의 IP에서 약 200만 번의 사전대입공격(ID와 패스워드를 흔히 사용되는 정보파일 프로그램으로 모두 대입하는 방법)을 수행해 4981개 계정은 로그인에 성공했으며 이 중 266개 계정은 가상화폐 출금까지 이뤄졌다.
이렇게 해커에게 유출 및 탈취된 개인정보는 빗썸의 이용자 정보 3만1506건과 웹사이트 계정정보 4981건 등 총 3만6487건으로 집계됐다.
아울러 방통위는 비티씨코리아닷컴이 △개인정보처리시스템에 접속한 인터넷주소 등을 재분석해 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점 △개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점 △백신 소프트웨어 업데이트를 실시하지 않은 점 등 정보통신법에서 정한 개인정보 보호조치 규정을 다수 위반한 것도 확인했다.
방통위는 이번에 현행 정보통신망법에 따라 비티씨코리아닷컴의 2014년부터 2016년까지 3년간의 평균매출액(20억7200만 원)을 기준으로 과징금 기준금액을 산정했다. 그러나 빗썸이 이용자와 매출이 급성장하고 있다는 점에 비춰볼 때 제재 수위가 지나치게 낮은 것 아니냐는 의구심이 제기되고 있다.
방통위는 이같향후 정보통신망법을 개정해 개인정보 유출기업에 부과하는 과징금을 상향할 계획이라고 밝혔다. 관련 사항은 지난 6일 제4기 방통위 정책과제로도 발표됐다.
이와 관련 방통위는 "과징금 부과기준은 3년 매출 평균해 산정하게 돼있기 때문에 현재로선 가장 과중한 처벌이 이뤄진 것"이라고 설명했다. 다만 방통위는 이같은 지적을 반영, 향후 산정된 과징금 또는 망법상 정액과징금 중 높은 금액을 부과하는 형태의 정보통신망법 개정을 검토, 개인정보 유출기업에 부과하는 과징금을 상향할 계획이라고 밝혔다.
이효성 방통위원장은 "가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있는 만큼 관련 사업자는 시스템 보안조치 및 인증절차를 강화할 필요가 있고 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다”고 당부했다.
그러면서 "가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며 관련 사업자에 대한 점검을 강화하겠다"고 강조했다.