45억500만원 VS 5850만원.
인터파크와 가상화폐거래소 빗썸이 개인정보 유출사고로 방송통신위원회에서 부과 받은 과징금이다. 두 회사가 받은 과징금이 약 77배 차이 난다. 여기어때에 이어 빗썸까지 개인정보 유출로 인한 직접 피해가 발생했는데 과징금은 솜방망이라는 지적이 나온다.
인터파크와 이들 기업 간 차이는 정보통신망법 시행령에 과징금 산정 기준 때문에 발생한다.
2014년 개정된 현행 정보통신망법에 따르면 개인정보 유출 시 과징금은 위반행위와 관련된 매출액 3% 이하 수준에서 부과된다. 방통위는 개인정보를 유출한 기업 직전연도 매출액을 연평균으로 산정해 과징금을 부과한다. 빗썸이나 여기어때를 운영하는 기업처럼 매출이 급성장하는 기업 적용 시 산정기준이 적절치 않다는 지적이다.
인터파크는 개인정보 유출로 고객이 실질적 금전 피해를 입은 게 입증되지 않지만 45억원이라는 막대한 과징금을 내야하는 상황이다. 인터파크는 이에 불복해 행정소송 중이다.
빗썸을 운영하는 비티씨코리아닷컴은 개인정보유출사고로 일부 고객 가상화폐 계좌에서 부정출금이 발생하는 금전 피해가 났지만 5850만원만 내면 된다. 가상화폐로 환전하면 3.25비트코인(13일 10:30분 시세)이다.
최근 가상화폐 투자 열기로 빗썸은 국내 최대 가상화폐거래소가 됐다. 하지만 2014년부터 2016년까지 3년간 평균 매출액은 20억7200만원이다. 올해 빗썸 거래대금은 한국거래소 유가증권시장(코스피)를 넘어섰다. 11월 12일 빗썸 하루 거래액만 6조500억원을 넘었다. 개인정보유출 과징금 산정에 올해 매출액은 반영되지 않는다.
방통위 조사 결과 빗썸은 직원 PC 해킹으로 인한 개인정보 유출 외에 추가 해킹까지 확인됐다. 유출 파일에 포함된 이용자 정보와 무단 출금 사고 민원을 제기한 고객이 일치하지 않았다. 또 다른 해커가 약 200만 번의 사전대입공격을 수행해 4981개 계정 로그인에 성공한 흔적이 발견됐다. 266개 계정은 부정 출금까지 이어졌다. 빗썸은 해당 공격을 탐지하지 못했고 방통위와 한국인터넷진흥원이 조사해 밝혀냈다.
천지현 방통위 개인정보침해조사과장은 “과징금 산정기준이 이용자와 매출이 급성장하는 기업에 대한 제재로 적절하지 않다는 지적이 나왔다”면서 “향후 정보통신망법을 개정해 개인정보 유출기업에 부과하는 과징금을 높일 계획”이라고 말했다.
방통위는 12월 6일 제4기 정책 과제발표에서 개인정보유출 시 과징금 부과 기준을 높이고 이용자 자기정보 통제권 강화, 관련 법규 위반 지속 시 서비스 임시 중지조치 제도를 도입한다고 밝혔다.
김인순 보안 전문기자 insoon@etnews.com
