국내 대형 가상화폐 거래소 빗썸. <사진=뉴시스>

지난 2017년 해킹을 당해 대규모 고객 정보 유출 사건이 발생했던 암호화폐 중개업체 ‘빗썸’, 숙방 중개업체 ‘여기어때’, 여행 알선업체 ‘하나투어’ 법인과 책임자들이 재판에 넘겨졌다.

서울동부지검 사이버수사부(김태은 부장검사)는 19일 "3개 회사 법인과 각 회사의 개인정보 관리 책임자 3명을 각각 정보통신망 이용촉진 및 정보보호 등에 관한 법률(개인정보 보호조치 등) 위반 혐의로 불구속기소했다"고 밝혔다.

재판에 넘겨진 책임자는 당시 빗썸 감사였던 실운영자 A(42)씨, 여기어때 부사장 B(41)씨, 하나투어 본부장 C(47)씨다. 검찰은  이들 법인 및 책임자들이 “기술적·관리적 보호조치를 소홀히 해 피해를 발생시킨 것으로 보고 있다.  

2017년 4월 빗썸의 실운영자이자 감사였던 A씨는 악성 프로그램이 숨겨진 ‘이력서.hwp’ 파일을 다운 받았고, 해커는 A씨의 개인 PC에 저장되어 있던 고객의 이름, 전화번호, e메일, 암호화폐 거래내역 등 개인정보 약 3만 1000건의 파일을 유출했다. 이후 생년월일과 전화 번호 등 아이디(ID)와 비밀번호로 사용될 가능성이 있는 단어를 사전처럼 만들어 놓고 입력하는 수법으로 고객 계정에 침입해 암호화폐 거래 정보도 확보했다. 해커는 자신이 얻은 정보를 돈을 받고 넘겼고, 이 정보를 이용한 일당은 빗썸 고객센터를 사칭해 200 여회에 걸쳐 고객이 보유한 암호화폐 약 70억원을 탈취했다.

검찰은 빗썸 측이 고객 정보를 암호화하지 않은 채로 개인 PC에 저장하고, 악성프로그램을 방지할 수 있는 백신을 설치하지 않는 등 개인정보 유출 책임이 있다고 판단했다. 암호화폐 탈취와 관련해서도 “동일 IP에서의 과다 접속 등 비정상적인 접속이 계속 됐음에도 차단조치를 하지 않은 것으로 조사됐다. 

‘여기어때’는 숙박 예약정보 323만건, 고객 개인정보 7만건 가량이 유출됐다. 당시 해커는 데이터베이스(DB)를 비정상적으로 조작하는 수법으로 관리자 웹페이지에 접속해 인증값을 탈취했다. 여기어때는 해킹 등 침입 탐지를 위한 모니터링 조직과 인력이 없어 해킹 공격에도 외부접속 IP 제한조치를 하지 못한 것으로 드러났다.

검찰은 또 전산망 해킹으로 개인정보가 유출된 하나투어도 보호조치 위반 혐의를 적용했다. 해커는 2017년 9월 원격제어 악성 프로그램을 유포해 외주 관리업체 직원 개인 노트북을 점거했다. 노트북 메모장에 저장되어 있던 관리자용 ID와 비밀번호를 이용해 고객의 여행예약내역, 전화번호, 주소, 여권번호 등 중요 개인 정보 46만건과 하나투어 임직원 개인정보 약 3만건을 유출했다

검찰은 "하나투어는 외부에서 개인정보처리 시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 인증수단을 추가로 거치도록 조치해야 함에도 이를 지키지 않았다"고 설명했다. 또 시스템 접속이 가능한 관리자 권한의 아이디와 패스워드가 암호화되지 않은 형태로 외주업체 직원의 개인 노트북 등에 메모장 파일 형태로 노출돼 있었던 점도 문제점으로 지적했다.

저작권자 © 이코리아 무단전재 및 재배포 금지