[중앙포토]

지난 2017년 해킹을 당해 고객의 개인정보가 대량 유출됐던 암호화폐 중개업체 ‘빗썸’, 숙박중개업체 ‘여기어때’, 여행알선업체 ‘하나투어’가 관리를 소홀히 해 고객 피해를 야기한 혐의로 재판을 받게 됐다. 

서울동부지검 사이버수사부(부장 김태은)는 19일 이들 3개 법인과 각 회사의 개인정보관리 책임자 3명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률(개인정보 보호조치 등) 위반 혐의로 불구속기소했다고 밝혔다. 

서울 중구 암호화폐 거래사이트 빗썸에 설치된 시세 전광판 자료사진. [뉴스1]

2017년 4월 빗썸의 실운영자이자 당시 감사였던 이모(42)씨는 악성 프로그램이 숨겨진 ‘이력서.hwp’ 파일을 다운받았다. 해커는 이씨의 개인 PC에 저장되어 있던 고객의 이름, 전화번호, e메일, 암호화폐 거래내역 등 개인정보 약 3만1000건의 파일을 유출했다. 이후 생년월일과 전화번호 등 아이디(ID)와 비밀번호로 사용될 가능성 있는 단어를 사전처럼 만들어놓고 입력하는 수법으로 고객 계정에 침입해 암호화폐 거래 정보도 확보했다. 

범행은 여기서 끝나지 않았다. 해커는 자신이 얻은 정보를 돈을 받고 넘겼고, 이 정보를 이용한 일당은 빗썸 고객센터를 사칭해 200여회에 걸쳐 고객이 보유한 암호화폐 약 70억원을 탈취했다. 피해 암호화폐 중 일부를 탈취한 해커는 지난해 10월 징역 3년을 선고받아 형이 확정됐다. 

조사 결과 이씨는 악성 프로그램을 방지, 치료할 수 있는 백신을 설치하지 않아 e메일 해킹에 그대로 노출됐던 것으로 드러났다. 또 동일 아이피(IP)에서 과다 접속하는 등 비정상적인 접속이 계속됨에도 차단조치를 하지 않았다. 고객들이 암호화폐 해킹 피해를 신고해도 원인을 파악하거나 피해 상황을 관계기관에 신고하는 등 보호조치도 취하지 않아 추가 피해가 발생한 것으로 검찰은 파악했다. 

[사진 사이트 캡처]

여기어때와 하나투어의 상황도 크게 다르지 않았다. 해커는 2017년 2~3월 여기어때 마케팅센터 웹페이지에 악의적인 질문을 입력‧실행되게 해 데이터베이스(DB)를 비정상적으로 조작하는 수법으로 관리자 웹페이지 접속 인증값을 탈취했다. 최고관리자 권한으로 웹페이지에 침입한 해커는 숙박 예약자와 휴대전화번호, 예약 일자, 업소명 등 약 330만건의 정보를 빼갔다. 여기어때는 해킹 등 침입 탐지를 위한 모니터링 조직과 인력이 없어 해킹 공격에도 외부접속 IP 제한조치를 하지 못한 것으로 드러났다. 

하나투어. [연합뉴스]

하나투어의 경우 해커는 2017년 9월 원격제어 악성 프로그램을 유포해 외주 관리업체 직원 개인 노트북을 점거했다. 노트북 메모장에 저장되어 있던 관리자용 ID와 비밀번호를 이용해 고객의 여행예약내역, 전화번호, 주소, 여권번호 등 중요 개인 정보 46만건과 하나투어 임직원 개인정보 약 3만건을 유출했다. 이 해커는 아직 잡히지 않아 기소중지 상태다. 

방송통신위원회와 행정안전부로는 3개 회사에 과징금과 과태료 처분을 내렸다. 그러나 검찰은 숙박예약정보나 여행예약정보 등 내밀한 정보, 암호화폐거래내역 등 경제적 가치가 있는 개인정보가 대규모로 유출된 점에서 관련자 모두를 정식재판에 회부하는 게 맞는다고 판단했다. 이에 따라 정보유출 경위를 파악해 빗썸 실운영자 이씨 외에도 장모(41) 여기어때 부사장과 김모(47) 하나투어 본부장이 재판에 넘겨졌다. 

검찰 관계자는 “이번 사건을 통해 개인정보 처리 기업이 수동적으로 해킹 등 유출 사고의 피해를 호소하기만 하는 것에서 벗어나야 한다”며 “철저한 수사를 통해 합리적 기준을 정립하고 엄정하게 처분할 예정”이라고 밝혔다. 

이가영 기자 lee.gayoung1@joognang.co.kr 

[출처]중앙일보 https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=025&aid=0002915706