[뉴스웍스=허운연 기자] 개인정보를 유출한 빗썸에 대해 방송통신위원회가 과징금 4350만원, 과태료 1500만원 및 시정명령 조치했다. 

방통회 12일 전체회의를 열어 가상통화 거래사이트 빗썸을 운영하면서 이용자의 개인 정보를 유출한 비티씨코리아닷컴에 대한 조사결과를 발표하고 과징금 및 과태료 등의 처분을 했다.

방통위는 해당 사업자로부터 개인정보 유출신고를 받고 지난 7월 1일부터 한국인터넷진흥원(KISA)과 함께 현장조사를 실시했다.

이에 따르면 미상의 해커는 비티씨코리아닷컴 직원 채용기간 중 지난 4월 28일 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱 메일을 발송했다. A씨가 이를 실행하면서 개인용 컴퓨터가 악성코드에 감염됐다.

해커는 A씨의 컴퓨터에 저장 중이던 ‘2017년 회원관리 정책’ 등 개인정보 파일을 포함한 다수의 파일을 외부로 유출했으며, 해당 파일은 직원 B씨가 지난 2016년 2월 26일부터 올해 7월 15일까지 총 560여 차례 서버에서 추출한 자료로 작성한 것으로 확인됐다.

특히 방통위와 KISA는 해당 파일에 포함된 이용자 정보와 가상통화 무단 출금 사고로 민원을 제기한 이용자 정보가 일치하지 않음을 확인하고 추가적인 해킹여부 파악을 위해 지난 4월 1일부터 6월 29일까지의 전체 접속기록을 분석했다.

분석 결과, 미상의 해커는 약 3436개 IP에서 약 200만번의 사전대입공격을 수행했으며 이중 4981개 계정은 로그인에 성공해 사용자 계정이 탈취했고 266개 계정은 로그인 성공 후 가상통화 출금 로그가 이루어진 사실을 확인했다.

두 건의 공격을 통해 해커에게 유출 및 탈취된 개인정보는 빗썸 서비스를 운영하면서 수집한 이용자 정보 3만1506건과 빗썸 웹사이트 계정정보 4981건 등 총 3만6487건으로 파악됐다.

한편 이번 조사과정에서 비티씨코리아닷컴은 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점, 개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점, 백신 소프트웨어 업데이트 미실시 등 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 정한 개인정보 보호조치 규정을 다수 위반한 것으로 드러났다.

이에 방통위는 비티씨코리아닷컴에 대해 과징금 4350만원, 과태료 1500만원, 책임자 징계권고, 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공포 등 행정처분을 의결했다.