가상화폐 업체 빗썸이 고객정보유출건에 대한 검찰의 기소의견에 오해의 소지가 있다며 적극 해명하고 나섰다.
19일 업계에 따르면 서울동부지검 사이버수사부는 빗썸과 이 회사 개인정보 관리 책임자를 정보통신망법 위반 혐의로 불구속 기소했다.
빗썸에서는 2017년 직원의 개인용 PC가 악성 코드에 해킹당하면서 여기에 저장돼 있던 고객 개인정보 파일 약 3만1000건이 유출됐다. 유출된 정보에는 고객 이름, 전화번호, 가상화폐 거래내역도 포함됐다. 해커는 이를 이용해 고객 보유 가상화폐 70억원을 빼돌렸다.
이에대해 검찰은 빗썸이 고객 정보를 암호화하지 않은 채 개인 PC에 저장하고 악성 프로그램을 방지할 수 있는 백신을 설치하지 않는 등 개인정보 유출 책임이 있다고 지적했다.
또 검찰은 가상화폐 탈취와 관련, 동일 IP에서의 과다 접속 등 비정상적인 접속이 계속됐음에도 차단조치를 하지 않았다고 밝혔다.
이와관련 빗썸 측은 "개인정보 유출과 가상화폐 탈취는 별개 사안"이라고 강조했다.
검찰은 개인정보 유출로 인해 회원들의 가상화폐가 탈취된 것으로 판단하고 있지만 개인정보 유출과 회원의 가상화폐 탈취는 전혀 관련성이 없다는 설명이다.
빗썸 측은 "사전대입 공격은 해커가 사용자가 가입한 여러 사이트나 접근 경로를 통해 아이디와 비밀번호를 탈취하고, 사전(Dictionary)에 정리해 로그인을 시도하는 공격으로 빗썸 외 사이트에서도 흔하게 발생하는 공격 형태"라면서 "만약 고객정보 3만여건을 탈취한 해커가 빗썸 사이트를 사전대입 공격한 해커와 동일인이라면 탈취 피해가 막대했을 것"이라고 밝혔다. 하지만 당시 개인정보 유출과 직접 관련된 암호화폐 탈취 피해는 거의 없는 상황이라는 것이다.
특히 유출된 개인정보로 로그인을 했더라도 가상화폐를 출금하는 것은 불가능하다고 밝혔다.
또 빗썸 측은 "검찰은 개인정보 유출과 가상화폐 탈취 과정에서 고객보호조치를 미이행했다고 발표했지만 이는 사실과 다르다"고 해명했다.
2017년 당시 사고 인지 후 방송통신위원회, 한국인터넷진흥원(KISA), 수사기관에 즉시 신고 및 관련 상황과 후속조치에 대해 수차례 공지했다는 얘기다.
또 3만여명의 개인정보 유출 피해 회원들 모두에게 보상을 위해 소송을 진행하지 않아도 1인당 10만원의 보상금을 전체 지급했고, 이 금액은 개인정보유출 사고로 인해 피해자들이 소송을 통해 판결로 확정받을 수 있는 최대 금액에 상응하는 보상이었다는 설명이다.
빗썸은 "검찰은 사고 이후 비정상적 접속 탐지 및 차단조치를 미이행했다고 밝혔지만, 빗썸은 즉각적인 사후조치를 실시했고 이후 방송통신위원회와 KISA의 확인까지 받았다"고 덧붙였다.
