폐업 가상자산거래소, 개인정보 무더기 유출…유력 정치인 정보까지 뚫려

중소거래소, 통제 미흡·암호화 미비
국내 200곳 중 ISMS 획득 20곳 그쳐
9월 24일까지 실명계좌 신고 필요
대거 퇴출 가능성에 보안 대란 우려

게티이미지뱅크(c)
게티이미지뱅크(c)

이미 폐업한 가상자산거래소에서 유출된 회원 개인정보가 시중에 무작위로 유출돼 논란이 확산하고 있다.

오는 9월 24일까지 신고수리를 완료하지 못한 가상자산거래소의 대거 퇴출 가능성이 짙어 거래소발 보안 대란 우려도 점쳐진다.

대부분 중소형 가상자산거래소가 최소한의 개인정보 보호 체계를 확보하지 못한 상태로 운영되고 있어 폐업 거래소가 늘수록 개인정보 유출 피해도 양산될 것으로 전망된다.

7일 업계에 따르면 지난해 폐업한 C 가상자산거래소를 이용한 회원 개인정보 수십만건이 전 임직원 등에 의해 대거 유출된 것으로 확인됐다.

해당 가상자산거래소는 운영 기간은 짧았지만 일 거래량 기준 국내 1위를 기록할 정도로 한때 호황을 누렸다. 정식 오픈 전 사전 가입 회원만 15만명에 달했으며, 실제 이용한 회원은 최소 수십만 명에 이를 것으로 추산된다.

유출된 개인정보에는 현직 유력 야당 정치인도 포함된 것으로 확인됐다. 마킹 처리된 가입자 실명을 제외하면 회원 가입 시 기입한 전화번호, 이메일 등이 그대로 노출됐다. 회원을 충분히 특정 가능한 정보로, 실제 현재 사용되고 있는 전화번호와도 일치했다.

이 거래소는 직원 접근 통제를 비롯해 대부분 개인정보 관리가 제대로 이뤄지지 않았다. 정보 암호화 과정도 없었으며, 통상 엑셀 파일 형식으로 기록된 채 사용됐다. 업체가 폐업하는 과정에서 임금 미지급 등으로 불만을 품은 직원 일부가 해당 데이터베이스(DB)를 반출한 것으로 추정된다.

C 거래소뿐만 아니라 중소형 가상자산거래소가 내부 통제 미흡, 정보보안 체계가 존재하지 않는 곳이 대부분이어서 대형 정보 유출 사고 가능성이 제기된다.

제대로 된 보안 체계를 갖추지 않고 있어 향후 유사한 개인정보 유출 피해가 계속 발생할 수 있다는 것이다. 거래소가 사이트를 닫고 잠적하거나 '기획파산' 등으로 폐업할 경우 이미 제출한 개인정보도 사실상 보호받기 어렵게 된다. 국내 200여곳으로 추산되는 가상자산거래소 가운데 개인정보보호관리체계(ISMS) 인증을 획득한 곳은 이른바 '4대 거래소'를 포함, 현재 20곳뿐이다.

원칙적으로 정보통신망법에 따라 인터넷사업자는 '회원탈퇴'를 포함해 개인정보 파기 수행 방안을 이용자에게 제공해야 한다. 폐업 등으로 개인정보 수집 목적이 사라진 경우에도 이를 지체하지 말고 파기해야 한다. 그러나 중소형 가상자산거래소 상당수는 이와 같은 정보 파기 프로세스가 부재한 실정이다. 전자지갑 보안키 역시 유출될 우려가 짙은 것으로 추정된다. C 거래소 사례처럼 애초에 내부 보안 체계가 미비한 경우에는 이와 같은 조치도 작동하기 어렵다.

일각에서는 중소 가상자산거래소 정보 유출이나 도용 등을 막기 위한 구체적인 보안 대책 수립이 필요하다는 분석도 잇따르고 있다.

ISMS 인증을 비롯해 이상거래탐지 고도화, 정보보호최고책임자(CISO) 분리 등 종전 금융사와 빅테크 기업 수준의 가이드라인을 일부 적용해야 한다는 지적이다.

보안업계 관계자는 “9월 이후 실명 계좌를 발급받지 못한 가상자산거래소의 대거 폐업이 예상되지만 기존 개인정보보호법 이외에 연착륙을 위한 가이드라인이 아직까지 없는 상황”이라면서 “ISMS가 갖춰지지 않은 거래소의 이용을 최대한 자제하는 방법 외에는 현재 사실상 마땅한 대안이 없다”고 말했다.

[표] 가상자산사업자 ISMS 인증서 발급 현황 출처=한국인터넷진흥원

폐업 가상자산거래소, 개인정보 무더기 유출…유력 정치인 정보까지 뚫려


이형두기자 dudu@etnews.com