가상화폐거래소 첫 제재…빗썸에 과징금·과태료 6천만원

개인정보 3만6천여건을 유출한 가상화폐 거래사이트 빗썸에 과징금 4천350만원과 과태료 1천500만원이 부과됐다. 국내에서 가상화폐 거래소에 과징금 등 제재가 내려진 것은 이번이 처음이다.

그러나 최근 가상화폐 가격이 급등하면서 거래규모가 늘어나고 있는 점에 비해 '솜방망이 처벌 아니냐'는 지적이 나오고 있다. 방통위는 과징금 상향을 검토키로 했다.

방송통신위원회는 12일 전체회의를 열고 빗썸을 운영하는 비티씨코리아닷컴에 이러한 내용의 과징금 및 과태료 처분과 함께 책임자 징계 권고, 위반 행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 행정처분을 의결했다.

방통위는 "보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직·간접적으로 악용된 점, 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려했다"고 설명했다.

방통위가 한국인터넷진흥원(KISA)와 함께 조사한 결과 두 건의 공격으로 해커에게 유출된 개인정보는 빗썸이 수집한 이용자 정보 3만1천506건과 빗썸 웹사이트 계정정보 4천981건 등 총 3만6천487건으로 파악됐다.

조사 과정에서 비티씨코리아닷컴은 개인정보 파일을 암호화하지 않은 채 개인용 컴퓨터에 저장하고, 백신 소프트웨어를 업데이트하지 않는 등 기본적인 보안 조치를 소홀히 했던 것으로 드러났다.

신원미상의 해커는 비티씨코리아닷컴의 직원 채용기간이던 지난 4월 28일 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일이 있는 스피어피싱 메일을 발송했고, 이를 실행한 A씨의 개인용 컴퓨터가 해당 악성코드에 감염됐다.

이후 해커는 감염된 A씨의 컴퓨터에서 회사가 수집한 개인정보 파일을 외부로 빼돌렸다.

또한 해커는 약 3천434개 IP에서 개인정보를 일일이 맞춰보는 방식의 사전대입공격을 약 200만번에 걸쳐 수행했고, 이 가운데 4천981개 계정의 로그인에 성공했다. 이 중 266개 계정은 로그인 후 가상통화 출금이 이뤄졌다.

이 과정에서 해커는 사측에 비트코인을 요구하는 협박 메일을 33차례나 발송하기도 했다.

비티씨코리아닷컴은 법령 위반사실을 모두 인정하면서도 사고 후 보안 시스템을 강화했고, 피해자들에게 자발적으로 31억원의 피해 보상을 한 점 등을 들어 선처를 희망했다.

방통위는 현행 정보통신망법에 따라 비티씨코리아닷컴의 2014∼2016년 3년간 평균 매출액(20억7천200만원)을 기준으로 과징금 기준금액을 산정했다.

하지만 이러한 산정기준이 급성장하는 기업에 대한 제재로 적절하지 않다는 지적을 반영해 향후 정보통신망법을 개정해 개인정보 유출기업에 부과하는 과징금을 상향할 계획이라고 밝혔다. 관련 사항은 지난 6일 제4기 방통위 정책과제로도 발표됐다.

이날 회의에서도 과징금과 과태료가 너무 적다는 의견이 나왔다.

김석진 상임위원은 "매출액이 기하급수적으로 늘어나는데 솜방망이 처벌이 되면 안 될 것"이라며 "가상화폐 거래소를 상대로 한 첫 제재인데 이렇게 할 수밖에 없는지 걱정된다"고 말했다.

김재영 방통위 이용자정책국장은 "현재 기준으로 가장 과중한 과징금을 부과했다"며 "산정된 과징금이나 정액 과징금 중 높은 금액을 부과하는 형태의 법 개정을 검토해보겠다"고 말했다.

이효성 방통위원장은 "가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화하겠다"고 말했다.

이 위원장은 "관련 사업자는 시스템 보안조치 및 인증절차를 강화할 필요가 있고 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념해야 한다"고 당부했다.