/사진=뉴시스
[파이낸셜뉴스] 3만명이 넘는 고객 개인정보 유출 사건으로 기소된 암호화폐 거래사이트 빗썸(bithumb)이 1심에서 벌금형을 선고받았다. 빗썸의 실운영자인 대표에게도 벌금형이 내려졌다.
서울동부지법 형사2단독 이형주판사는 12일 정보통신망법(정보통신망이용촉진 및정보보호 등에 관한 법률) 위반 혐의를 받는 빗썸 운영사 비티씨코리아닷컴과 빗썸 실운영자 이모씨(43)에 대한 선고공판에서 각각 벌금 3000만원을 선고했다.
이씨는 지난 2017년 4월 개인용 컴퓨터에 보관돼 있던 고객 성명, 전화번호, 이메일, 암호화폐 거래내역 등 개인정보 3만1000여건을 유출당하다는 등 고객 개인정보 보호를 소홀히 한 혐의로 재판에 넘겨졌다.
이날 재판부는 양형 이유에 대해 "빗썸 법인체는 사업규모와 피해액 규모 등을 종합해 벌금 최고금액인 3000만원을 부과한다"며 "법정형은 2000만원, 구형도 2000만원이지만 경합범이기 때문에 선고할 수 있는 최고금액으로 계산했다"고 밝혔다.
이씨에 대해서는 "무겁게 책임을 물어야 한다"면서도 "짧은 기간 임시로 (대표자)역할을 했던 점, 혼자만의 잘못에서 비롯된 것이 아니고 이 사건 결과에 따라서 피해자들이 별도의 책임을 물을 것임을 참작했다"고 설명했다.
재판부는 정보유출 경로 두가지 중 스피어피싱(Spear phishing)과 관련해서 "개인 PC에서 기록된 것인 인정된다"며 전부 유죄를 인정했다.
스피어피싱이란 특정한 개인들이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법을 말한다. 조사결과 해커는 악성코드에 감염된 개인용 컴퓨터에서 개인정보 파일(을 포함한 다수의 파일을 외부로 유출한 것이 확인됐다.
다만 또 다른 유출 경로인 사전대입공격(Dictionary Attack)과 관련해서는 로그아웃 분석 증거가 제출된 일부 피해자에 대해서만 유죄로 인정했다.
사전대입공격은 공격자가 사전에 확보한 아이디와 비밀번호 정보 또는 일반적으로 흔히 사용되는 정보파일을 가지고 프로그램을 통해 하나씩 모두 대입시켜 보안을 뚫는 방법이다.
검찰은 회사 책임자인 이씨가 가상통화거래소를 운영하면서 보안 프로그램조차 갖추지 않거나 암호화하지 않고, 해킹에 취약한데도 예방 등 조치를 취하지 않았다고 판단했다.
또 해커가 이 정보를 이용해 200여회에 걸쳐 빗썸 회원의 가상통화 70억원을 탈취했다고 보고 있다.
이 해커는 이후 검거돼 징역 3년형을 선고 받은 것으로 알려졌다.
onsunn@fnnews.com 오은선 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지