[디지털투데이 박근모 기자] 국내 최대 가상화폐 거래소 '빗썸'의 개인정보 유출 사고의 여파가 점점 커지고 있다. 사건 발생 초기 빗썸을 이용하던 약 3만1000여명의 고객의 개인정보가 유출된 것으로 알려졌다. 그러나 유출된 명단에 없는 고객들의 정보를 이용해 지속적으로 로그인 시도를 하는 사례가 발견됐다. 또한 빗썸 관계자나 정부 관계자로 위장해 직접 고객들에게 전화를 걸어 OTP(일회용 비밀번호)를 요구하는 등 피싱 공격도 여전히 이뤄지고 있다.

또한 빗썸 가상화폐 계좌에 들어있는 자금을 통해 임의로 가상화폐를 사고 파는데 사용하거나 심지어 외부로 유출돼 사라져버린 사례도 속속 등장하고 있어 피해자 보호 대책 필요성이 커지고 있다. 하지만 주무 기관인 방송통신위원회와 한국인터넷진흥원(KISA)는 검찰 조사가 진행 중인 사안으로 현재 피해자 보호를 위한 조치를 취할 방법이 없는 상태로, 검찰 조사 이후 사건 발생 원인을 파악한 후에나 책임 소재 등 피해자 보호 방안 마련이 가능하다는 입장이다.

늘어가는 개인정보 유출로 인한 2차 피해

개인정보 유출 사고가 발생한 가상화폐 거래소 빗썸 측은 회사 내부의 서버 등 시스템 해킹으로 인한 사고가 아니라며, 해당 개인정보 유출 사고를 직원 개인의 일탈 행위로 밀어붙이는 모양새다. 빗썸 측은 개인정보 유출 사고 피해를 입은 고객 전원에게 10만원씩 보상금을 지급하겠다고 밝혔으며, 현재 순서대로 입금 절차가 진행되고 있는 상황이다.

빗썸 측이 홈페이지를 통해 공개했던 약 3만1000명의 개인정보 유출된 회원들을 제외하고도 피해를 입었다는 사례가 지속적으로 발생하고 있다. 또한 가상계좌에서 보관된 가상화폐가 사라진 고객도 존재하는 것으로 알려져 이를 둘러싼 책임 소재 및 손해 배상에 따른 후폭풍도 거셀 것으로 보인다.

문제는 가상화폐는 현재 국내에서 법적 공식 화폐로 인정받지 못함에 따라 가상화폐 거래소의 경우 금융기관이 아닌 '통신판매업자'의 법적 지위에 있는 만큼 이번 개인정보 유출에 따른 피해에 대해 금융거래법 등을 적용하기 어려운 상태다. 금융거래법에 따르면 금융기관들은 개인정보 유출 등의 문제로 피해가 발생시 손해 배상 문제를 처리할 수 있는 손해보험 의무 가입이 명시돼 있다.

하지만 빗썸은 금융기관이 아닌 통신판매업자인 만큼 해당 대상이 아니다. 특히 빗썸은 그동안 금융기관과 같이 피해자 보호 방안을 마련한 것처럼 손해보험 가입 사실을 밝혀왔지만, 지난 4월 해당 손해보험 상품 계약이 만료된 이후 연장하지 않고 가입된 것처럼 홈페이지에 게시해 왔던 것으로 알려졌다.

법적 보호를 받지 못하는 가상화폐

현재 국내 대부분 가상화폐 거래소의 경우 피해 발생시 피해자 구제를 할 수 있는 손해보험 가입이나 ISMS(정보보호관리체계)와 같은 기존적인 정보보안인증 조차 갖춰지지 않은 것으로 확인됐다. 일부 가상화폐 거래소의 경우 약관을 통해서 위와 유사한 피해 사고 발생시 사측의 과실로 인정될 경우 전액 손해 보상 처리를 해준다고 밝히고 있다.

그러나  사측의 과실 여부를 인정 받기 위해서는 검찰 조사와 정보보안 당국의 원인 분석 등 오랜 시간이 걸리며, 심지어 개인이 기업을 상대로 손해배상 청구 소송을 하는 등 법정 싸움도 염두해 둬야하는 상황이다.

현행법상 가상화폐 거래소는 통신판매업자인만큼 주무 기관이 방송통신위원회가 관리·감독을 하도록 규정돼 있다. 현재 빗썸 개인정보 유출 사고에 대해 방송통신위원회 측은 검찰 수사가 마무리 된 이후에야 사고 원인이나 유출 범위 등을 확신할 수 있는 상태로, 검찰 수사가 마무리 될길 기다리고 있다고 설명했다. 금융위원회 쪽에서는 가상통화가 금융 상품이 아닌 탓에 적극적인 조사 착수가 불가능한 상태라고 설명했다.

뒷짐 진 '빗썸'과 우왕좌왕 보안당국

현재 실제 사건 조사에 착수 중인 검찰을 제외하고 주무기관인 방송통신위원회나 KISA 측은 사실상 사측인 빗썸이 공개한 내용을 중심으로 소극적인 진상 파악에 나선 형편이다. 때문에 빗썸 이용자 중 홈페이지에 유출되지 않은 회원으로 확인됐지만 로그인 시도나 빗썸 관계자로 위장한 피싱 공격을 지속적으로 받고 있는 것으로 확인된 사례가 점차 증가하고 있으며, 실제 개인정보 유출 회원수가 3만1000여명에 불과한 것이 맞는지에 대한 의문도 제기되고 있다.

또한 빗썸 가상화폐 계좌에서 자금 유출 사례도 보고되고 있는 상태로, 빗썸 측이 밝힌 개인정보 유출 범위가 사용자 이메일과 휴대폰 전화번호에 국한됐다는 것이 맞는지 여부가 불투명한 상태다.

이에 대해 국내 거래소 관계자는 "일반적으로 이메일 주소와 전화번호만을 통해서는 가상계좌에 들어있는 가상화폐를 매입 혹은 매도 한다던지 자금을 따로 이체 하는 등의 작업은 사실상 불가능한 구조"라며 "정확한 사실 파악이 부족한 상황에서 단정지을 수는 없지만 개인정보 유출의 범위가 이메일, 전화번호 말고도 추가 정보가 포함된 것이 아닐까 생각된다"고 전했다.

천지현 방송통신위원회 개인정보침해조사과장은 "정보통신망법에 따라 개인정보 유출 사고의 경우 유관 기관을 비롯해 이용자들에게 24시간 안에 정확한 사실을 공지하게 돼 있다"라며 "만약 추가 조사를 통해 개인정보 유출 범위나 내용이 빗썸이 초기에 밝힌 것과 다를 경우 해당 법률을 통해 과징금이나 형사 처벌 조치를 취할 계획"이라고 전했다.

해당 사건의 담당 부서인 방송통신위원회에서는 현재 공식적으로 접수된 추가 피해 사례는 없는 상태라고 설명하면서 검찰 조사가 끝난 이후에나 기술적 점검이 가능한 상태로, 지금 당장은 피해자를 보호할 수단이 마땅치 않은 상태라고 설명했다.

한편, 이번 사건 발생 이전인 지난 5월에도 빗썸에서 계좌 해킹으로 의심되는 무단 인출 사례가 여러차례 발생했던 것으로 확인됐다. 특히 당시에도 비밀번호를 유도하는 보이스피싱이 아닌 비밀번호를 직접 탈취해 가능 방식의 해킹 공격 사례도 존재하는 것으로 나타났다.

빗썸 측은 지난 5월 피해 사실이 있었던 것은 사실이나 해킹이 아닌 개인 부주의 가능성에 대한 조사를 진행했던 것이라고 밝혔다.

이번 개인정보 유출 피해를 입은 피해자들은 현재 빗썸과 손해배상 청구 소송을 위해 변호사 선임을 준비 중인 것으로 알려졌다.