[금융소비자뉴스 김영준 기자] 가상통화 투자에 따른 해킹피해가 늘어나는 가운데 국내 가상화폐 거래소 빗썸(www.bithumb.com)의 직원 PC가 해킹을 당하는 일이 발생했다. 이에 따라 고객의 개인정보가 유출되고 부당 인출이 일어나 검찰이 수사에 착수했다.
3일 빗썸에 따르면 이 회사 직원이 자택에서 쓰던 개인용 PC가 해킹을 당해 업무용 문서에 들어 있던 회원정보가 유출됐다. 피해자 수는 약 3만명으로 추산된다고 이 회사는 밝혔다.
빗썸은 이 사실을 지난달 29일 저녁에 파악했으며 다음날 수사기관과 정보보호 기관 등에 이를 신고하고 피해가 우려되는 회원들에게 이메일로 알렸다고 설명했다.
이에 따라 서울중앙지검 첨단범죄수사1부가 한국인터넷진흥원(KISA), 방송통신위원회 등과 공조 수사를 진행 중이다.
빗썸은 "회원정보 유출이 의심되는 문건은 일부 회원을 대상으로 프로모션을 진행하기 위해 작성된 것으로 이미 KISA 및 수사기관에서 확인한 바 있다"며 "해당 문서에 회원정보가 포함된 점과 암호화되지 않은 점 등에 대한 책임을 물어 문건 작성자에게 징계를 내렸다"고 주장했다.
이 회사는 "출금을 위해서는 먼저 회원 계정의 이메일과 비밀번호로 로그인해야 하지만 이번에 유출된 개인정보에는 비밀번호 정보는 없었다"고 주장했다.
빗썸 서비스 이용자 중 일부는 피해가 휴대전화번호와 이메일주소 등 개인정보 유출에 그치지 않고 본인의 계좌에서 출금까지 이뤄져 직접적 금전상 손해를 입었다고 주장하고 있다.
이에 대해 빗썸은 "출금 과정에서는 1회용비밀번호 발생기(OTP)나 문자메시지(SMS) 인증번호 확인이 필수적이므로, 운영자 사칭 보이스피싱 등으로 회원 개인이 정보를 공개하지 않으면 출금이 불가능하다"고 주장했다.
이 회사는 "어떠한 경우에도 OTP, SMS 인증번호를 전화나 문자로 요청하지 않고 있으며, 이런 일이 발생할 경우 해킹 시도를 의심해야 한다"고 강조했다. 이어 "이번 유출 사고로 피해를 본 회원에 대한 상세 보상안을 논의 중이며, 이른 시일 안에 개별적으로 실질 보상을 지급할 예정"이라고 밝혔다.
KISA 관계자는 이번 사건에 대해 "검찰이 수사에 착수했으며 며칠 내로 수사결과가 나올 것으로 안다"고 설명했다.
한편 최근 비트코인, 이더리움 등 가상통화 투자가 늘어나고 있지만 해킹 피해에 대해서는 속수무책이라 대책이 필요하다는 지적이 제기된다. 가상통화에 대해서는 법적인 근거가 따로 없어 투자자 피해가 발생해도 구제할 방법이 사실상 없는 상황이다.
지난 4월에 일어난 국내 가상통화 거래소 야피존의 해킹 사건이 대표적이다. 당시 야피존은 해커의 공격으로 거래소에 보관하고 있던 코인지갑 4개를 탈취당했다. 피해 규모는 3831비트코인으로 당시 시세로 55억원 규모였다. 코인지갑은 거래를 위해 고객들의 가상통화를 모아놓은 계좌다. 개인들의 계좌엔 가상통화 잔액만 표시될 뿐 실제 가상통화는 코인지갑에 함께 보관된다.
탈취당한 비트코인은 야피존이 보유한 회원 전체 가상통화의 37%에 해당하는 규모였다. 야피존은 모든 고객들의 자산을 37%씩 차감했다. 법률 및 회계 자문을 거친 결과 모든 회원들에게 공평하게 손실을 적용해야 한다는 설명이었다.
야피존은 고객 자산에서 차감한 부분을 차후 영업이익으로 차차 보상하기로 했다. 보통의 금융회사라면 회사가 손해를 전부 감수해야 하지만 야피존은 손실을 고객에게 떠안겼다. 고객들 역시 관련 규정이 명확하지 않다 보니 이를 받아들일 수밖에 없다. 법적으로 가상통화의 존재 근거가 없어 소송을 제기하기도 어려웠다.
한국인터넷진흥원(KISA) 관계자는 “가상통화 거래소는 사업자 신고만 하면 영업이 가능한 통신판매업자로 분류된다”며 “현행법 체계에서 통신판매업자는 금융회사 수준의 보안 요건을 갖출 필요가 없기 때문에 피해가 발생해도 따져 물을 수 없다”고 지적했다.
지난달 29일에는 국내 최대 가상통화 거래소인 빗썸에서 개인정보 유출 사고가 발생했다. 이미 지난달 중순부터 빗썸의 아이디와 비밀번호가 해킹당해 피해를 봤다는 민원이 온라인 게시판과 카페, 블로그 등에 올라왔고 금융당국과 경찰에 대한 신고도 늘어나고 있었지만 빗썸은 물론 금융당국과 경찰도 특별한 조치를 취하지 않았다. 특히 금융당국은 가상통화에 대한 어떤 규제 방안도 존재하지 않아 나서기가 어렵다는 입장이다.
개인 투자자들은 가상통화 거래 중 피해를 당해도 증거 모으기가 힘들고 하소연할 곳도 마땅치 않으며 피해를 보상받기는 더더욱 어렵다. 빗썸 해킹 사고에 대한 피해자들의 집단소송이 주목을 끄는 이유다.
한 업계 관계자는 “가상통화 시장이 아무런 규제 없이 방치된 사이 일반 투자자들의 피해는 불어나고 있다”며 “2014년에 세계 최대 비트코인 거래소였던 일본 마운트곡스가 해킹을 당해 결국 문을 닫았는데 투자자들은 손실을 고스란히 떠안을 수밖에 없었다”고 말했다.
