빗썸, 여기어때, 하나투어 법인과 책임자가 개인정보 유출에 대한 책임으로 재판에 넘겨졌다. 검찰은 이번 사건 뿐 아니라 향후 개인정보 유출 사법, 개인정보 처리 기업의 보호조치 의무 위반 시 엄청 처분을 밝혔다.
19일 서울동부지검 사이버수사부(김태은 부장검사)는 3개 회사 법인과 개인정보 관리 책임자를 각각 정보통신망법 위반 혐의로 불구속 기소했다.
검찰은 이들 법인과 책임자가 개인정보 수집·보유·이동 처리 과정에서 기술적·관리적 보호조치를 소홀히 해 피해를 야기했다고 설명했다.
암호화폐 거래소 빗썸은 2017년 스피어피싱으로 직원 개인 PC가 해커에 장악됐고 저장된 개인 개인정보 3만 1000건 파일이 유출됐다. 해커는 이들 정보를 악용, 암호화폐 70억원을 빼돌렸다.
검찰은 고객 정보를 암호화 하지 않은 채 개인 PC에 저장했으며 한글 보안업데이트 미실시, 악성 프로그램을 방지하는 백신을 설치하지 않는 등 개인정보 유출 책임이 있다고 판단했다.
암호화폐 탈취와 관련해 “사전대입공격 등으로 동일 IP에서 과다접속 등 비정상 접속이 계속됐지만 탐지, 차단 조치하지 않았다”면서 “고객의 계속된 암호화폐 해킹피해 신고에도 원인파악, 방지·보호 조치, 피해상황 공지·관계기관 신고 등 보호조치를 취하지 않아 추가 피해 발생했다”고 설명했다.
다만 빗썸측은 개인정보 유출과 암호화폐 탈취는 별개 사안이라고 해명했다. 빗썸 관계자는 “고객 정보 3만 여건을 탈취한 해커가 빗썸 사이트를 사전대입 공격한 해커와 동일인이라면 탈취 피해가 막대했을 것”이라면서 “당시 개인정보 유출과 직접 관련한 암호화폐 탈취 피해는 거의 없는 상황”이라고 해명했다.
이어 “유출된 개인정보(이름, 휴대폰, 이메일)로 로그인을 했더라도 암호화폐를 출금하는 것은 불가능하다”고 덧붙였다.
'여기어때'는 같은 해 마케팅센터 웹페이지를 향한 SQL인젝션 공격으로 숙박 예약정보 323만건, 고객 개인정보 7만건 가량 유출됐다. 당시 유출된 숙박 이용내역을 악용한 협박·음란문자 4000여건이 발송되기도 했다.
검찰은 웹페이지 취약점 검검 등 미이행과 침입 탐지·차단 조치 미이행에 대한 책임을 물었다. 검찰은 “마케팅센터 웹페이지에 대한 해킹 취약점 점검, 공격 예방 등 조치를 하지 않았다”면서 “IP우회 등 국내외 다수 IP를 이용한 관리자 웹페이지 접속, 해킹공격, 정보탈취 감행에도 외부접속 IP 제한조치를 이행하지 않았다”고 말했다.
전산망 해킹으로 고객 46만 여명과 임직원 3만 명가량의 개인정보가 유출된 하나투어에도 보호조치 위반 혐의를 적용했다.
검찰은 “외부에서 개인정보처리 시스템에 접속할 때 아이디나 비밀번호 이외 인증수단을 추가로 거치도록 조치해야하지만 이를 지키지 않았다”고 설명했다. 비밀번호 암호화조치 미이행에 대해서도 지적했다.
검찰은 “이번 사건을 통해 정보보안 시스템 인력 강화, 법령에서 정한 보호조치 의무를 보다 철저히 이행하는 계기가 마련됐다”면서 “향후 개인정보 유출 사범, 개인정보처리 기업 보호조치 의무 위반에 대해 철저히 수사하고 엄정 처분할 예정”이라고 덧붙였다.
정영일기자 jung01@etnews.com
