해커의 70억원 규모 암호화폐 탈취와 관련해 검찰과 피해 당사자인 빗썸이 다른 의견을 내놓고 있어 진실공방으로 이어질 전망이다.

 빗썸 거래소 모습. / 조선DB
빗썸 거래소 모습. / 조선DB
19일 서울동부지검 사이버수사부(부장 김태은)는 빗썸과 빗썸 개인정보관리 책임자를 정보통신망 이용촉진 및 정보보호 등에 관한 법률(개인정보 보호조치 등) 위반 혐의로 불구속기소했다고 밝혔다. 검찰은 "기술적·관리적 보호조치를 소홀히 해 피해를 야기했다"고 설명했다.

앞서 빗썸은 2017년 직원 개인용PC가 악성코드에 감염돼 해킹당했다. 이때 빗썸은 고객 개인정보 파일 3만1000건을 유출당했다. 유출된 정보에는 고객 이름과 전화번호, 이메일, 암호화폐 거래 내역이 포함됐다.

검찰은 또 해커가 이 정보를 활용해 약 200회에 걸쳐 고객이 보유한 암호화폐 70억여원을 탈취했다고 봤다.

검찰은 "동일 IP에서 과다접속 등 비정상적 접속이 계속됐지만 빗썸은 탐지 내지는 차단조치를 하지 않았다"며 "고객이 암호화폐 해킹피해를 신고했는데도 빗썸은 원인파악·피해상황 공지 등 보호조치를 취하지 않아 추가 피해가 발생했다"고 덧붙였다.

◇ 빗썸 ‘개인정보 유출 = 암호화폐 탈취’ 아니다

빗썸은 검찰의 이같은 지적에 해명자료를 내고 오해 소지 발생할 수 있는 부분은 해명해야 한다고 밝혔다. 개인정보 유출과 암호화폐 탈취는 별개 사안이라는 것이 빗썸 측 주장이다. 또 고객공지 및 관계기관 신도 등 고객보호 조치를 즉각 이행했으며 사고 이후 시스템 정비 등 후속 조치도 이행했다는 것이다.

빗썸 운영사인 비티씨코리아닷컴은 "검찰 기소 의견을 존중하지만 해명하고자 한다"고 밝혔다.

우선 비티씨코리아닷컴에 따르면 암호화폐 탈취가 발생한 피해사례는 해커가 미리 확보한 ID와 비밀번호 등을 대입하는 ‘사전대입공격’ 방식을 취했다. 만약 고객정보 3만건을 유출한 해커가 동일범이라면 70억원 규모가 아닌 더 대규모의 암호화폐 탈취가 이뤄졌을 것이라는 주장이다. 개인정보 유출 규모에 비해 피해 규모가 작다는 것이 빗썸 측 주장이다.

빗썸은 또 유출된 개인정보도 이름과 전화번호, 이메일 등에 그쳐 이 정보만으로는 암호화폐 출금이 불가능하다고 설명했다.

뿐만 아니라 빗썸은 사고를 인지한 후 방송통신위원회·한국인터넷진흥원(KISA)·수사기관 등 관련 기관에 알렸고 피해자 응대를 위한 개인정보대책센터도 마련하는 등 초기대응은 실행했다고 밝혔다. 피해자들에게 각각 10만원을 지급한 점도 피해자들이 소송을 통해 판결로 확정받을 수 있는 최대 금액에 상응하는 보상이라는 주장이다.

사고 이후 침입차단 시스템 강화, 개인정보 암호화, 내부 보안통제정책 정비·강화 등 필요한 후속조치도 완료했다는 점도 덧붙였다.

빗썸 관계자는 "앞으로도 빗썸은 투명한 경영과 고객의 자산을 안전하게 보호할 수 있도록 총력을 다하겠다"며 "지난 사태에 대해 다시 한번 진심으로 사과 드린다"고 말했다.