[아이뉴스24 성지은, 김나리 기자] 국내 최대 가상화폐 거래소 '빗썸'에서 직원의 보안 부주의로 고객 3만여명의 개인정보가 유출됐다.
해당 직원은 프로모션을 진행하기 위해 개인 PC에서 개인정보가 포함된 자료를 작성했으며, 이 과정에서 침해사고가 발생해 이름, 휴대전화 번호, 이메일 주소를 포함한 고객정보가 유출된 것으로 알려졌다.
3일 빗썸에 따르면, 지난 29일 오후 10시경 빗썸의 직원 개인 PC에 대한 외부 침해가 발생해 빗썸 전체 회원의 약 3%인 3만여명의 개인정보가 유출됐다.
빗썸 관계자는 "프로모션을 진행하기 위해 자료를 작성하는 과정에서 (개인정보가) 유출됐다"며 "직원이 개인의 자택용 PC에서 작업하다가 그 자료가 침해사고를 당해 정보가 유출됐다"고 설명했다.
회사 측에 따르면, 개인정보 유출 피해 규모는 3만여명 수준이다. 그러나 이는 빗썸에서 밝힌 피해자 규모여서 조사 이후 실제 피해자 수는 이보다 많을 수 있다.
현재 회사 측은 "(이번 사건은) 빗썸의 내부망이나 서버, 가상화폐 지갑과는 무관하다"며 "모든 회원의 원화 및 가상화폐 예치금은 안전하게 보관되고 있다"며 수습에 나선 상황이다. 또 홈페이지를 통해 고객이 개인정보 유출상황을 조회할 수 있도록 조처했다.
◆유출된 개인정보 통한 2차 피해 두고 '공방'
그러나 이미 탈취된 개인정보를 이용해 운영자를 사칭한 보이스 피싱 등이 발생, 2차 피해가 나타난 것으로 알려졌다.
피해자 모임 카페 등에 따르면, 유출된 정보를 통해 빗썸 운영자를 사칭한 사람이 빗썸 고객에게 전화를 걸고 일회용비밀번호생성기(OTP) 번호를 빼냈다. 이후 OTP 등 개인정보를 활용해 개인의 전자지갑에 든 비트코인을 다른 전자지갑으로 이체, 출금했다.
이외 문자나 전화도 없이 계좌가 해킹당해 가상화폐를 도난당한 사람도 있다. 이같은 피해 회원들은 카카오톡 채팅방, 온라인 카페 등을 통해 피해사례를 수집하고 집단소송을 준비하고 있다.
그러나 빗썸은 이와 관련한 내용을 부인하고 있다. 출금을 위해서는 먼저 회원 계정의 이메일과 비밀번호로 로그인을 해야하는데, 이번에 유출된 개인정보에는 비밀번호 정보가 없었다는 것.
빗썸 측은 "빗썸 서비스의 출금 과정에서는 OTP, SMS 인증번호 확인이 필수적이어서 회원 개인이 운영자를 사칭한 보이스 피싱 등에 공개하지 않는 이상 출금이 불가능하다"며 "빗썸은 어떠한 경우에도 OTP, SMS 인증번호를 전화나 문자로 요청하지 않고 있으며, 이러한 일이 발생할 경우 해킹 시도를 의심해야 한다"고 설명했다.
◆여러 보안 서비스 강조해 온 빗썸…피해 고객 "배신감 느껴"
지난해 말 기준 누적 거래량 2조원을 돌파한 빗썸은 그동안 다양한 보안 서비스를 강조하며 거래소의 안정성을 강조해 왔다.
비트코인 및 현금 출금 시 본인 명의의 계좌만 가능하며, 휴대폰과 OTP 인증 과정을 거치도록 해 해킹 등 보안 사고로부터 안전함을 강조한 것. 또 회사는 ▲서버 망분리 시스템 ▲침임 방지 시스템 ▲웹 취약점 분석 시스템 등 다양한 해킹 예방 시스템을 소개한 바 있다.
이에 피해 고객들은 배신감을 느끼며, 안일한 보안 의식에 따른 개인정보 유출과 피해에 분통을 터뜨리고 있다.
이와 관련 빗썸 측은 "저희도 이 부분에 대해서는 책임을 통감하고 있다며 "추가 피해를 예방하기 수사기관에 신고한 상황이고, 추가 피해 발생을 막기 위해 전방위적으로 노력하고 있다"고 설명했다.
한국인터넷진흥원(KISA)에 따르면, 빗썸은 30일에 해당 개인정보 유출을 신고했으며, 현재 방송통신위원회와 KISA가 공조해 자세한 사항을 조사 중이다.
빗썸 관계자는 "피해보상은 초반 공지에도 적혀있듯 논의 중이고, 실질적인 유출로 피해 입은 고객에 대한 구체적 보상안 또한 내부적으로 논의하고 있다"고 밝혔다.
한편, 이날 오전 10시 기준 전 세계 가상화폐 거래소 랭킹 정보를 제공하는 '코인힐스'에 따르면 빗썸의 거래량은 전 세계 2위를 차지하고 있다.
성지은기자 buildcastle@inews24.com 김나리기자 lily@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기