빗썸, 2017년 4월 고객 개인정보 3만여건 유출 "암호화, 백신 등 최소한의 정보보호 조치 소홀"
지난 2017년 4월 고객 개인정보 3만 1000여건 유출사고에 대한 책임으로 지난해 재판에 넘겨진 빗썸과 대주주 A씨에 대한 1심 선고공판이 연기됐다. 빗썸 측은 “법원에서 선고공판을 연기한 사항이라 이유는 확인이 어렵다”는 입장이다.
다만 법조계에선 “피고인측에서 자신에게 유리한 증거를 추가로 신청했을 가능성이 있다”며 “재판부가 빗썸 혐의에 대한 심리 확정을 완료하지 못한 것으로 보인다”고 판단했다.
관련업계와 법조계에 따르면 법원은 22일로 예정됐던 빗썸의 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 위반 혐의에 대한 1심 선고공판을 2월로 연기했다. 지난해 6월 서울동부지법 사이버수사부는 빗썸과 대주주 A씨를 정보통신망법 위반 혐의로 불구속 기소했다.
A씨는 지난 2017년 4월 개인용 컴퓨터(PC)에 보관돼 있던 고객 성명, 전화번호, 이메일, 암호화폐 거래내역 등 개인정보 3만 1000여건을 유출당했다. 당시 해커는 악성코드를 심은 파일을 이메일로 보낸 뒤 A씨 PC를 해킹한 것으로 알려졌다.
검찰 측은 빗썸이 사용자 정보를 암호화하지 않은 채 개인PC에 저장해 피해를 키웠다고 판단했다. 또 악성 프로그램을 방지할 수 있는 백신을 설치하지 않는 등 기본적인 보안 조치를 취하지 않은 것도 회사 측에 책임이 있다고 봤다.
당시 빗썸은 거래소 사용자가 보유하고 있던 70억원의 암호화폐도 탈취당했다. 이는 국내 4대 암호화폐 거래소에서 일어난 첫 대규모 암호화폐 부정인출 사고였다.
해당 탈취사고에 대해 검찰 측은 앞서 발생한 개인정보 유출과 연관성을 제기했다. 하지만 이에 대해 빗썸 측은 “암호화폐 출금 시 회원 명의로 된 휴대폰으로 수신된 인증번호나 일회용 비밀번호 생성기(OTP) 인증을 요구하는 보호조치를 취하고 있다”며 “개인정보 유출과 암호화폐 탈취는 서로 무관하다”고 반박하기도 했다.
조원희 법무법인 디라이트 변호사는 “정보통신망법은 인터넷을 통해 사업하는 업체는 모두 적용 대상”이라며 “다만 빗썸 같은 경우 정보통신망법이 처음 만들어질때 생각지 못했던 유형이기 때문에 규제대상으로 볼 수 있는지에 대한 대한 논란도 남아있다”며 “현재로서는 법원이 사이버 보안 등 기본 법리적 틀 내에서 판단할 것으로 본다”고 말했다.
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지