빗썸·여기어때·하나투어 '고객정보 대량유출'로 재판에(종합)
입력
수정
2017년 유출사태 책임자·법인 불구속 기소…"보호조치 소홀"
빗썸, 고객정보 3만건 유출…해커가 암호화폐 70억 빼돌려
'여기어때' 숙박예약·고객 정보 320여만건, 하나투어 49만명 정보 유출 대규모 고객 정보 유출 사건이 발생했던 암호화폐 중개업체 빗썸과 숙박 중개업체 여기어때, 여행 알선업체 하나투어 법인과 책임자들이 재판에 넘겨졌다. 서울동부지검 사이버수사부(김태은 부장검사)는 이들 3개 회사 법인과 개인정보 관리 책임자들을 각각 정보통신망법 위반 혐의로 불구속 기소했다고 19일 밝혔다.
재판에 넘겨진 책임자는 당시 빗썸 감사였던 실운영자 A(42)씨, 여기어때 부사장 B(41)씨, 하나투어 본부장 C(47)씨 등이다.
검찰은 이들 법인 및 책임자들이 "기술적·관리적 보호조치를 소홀히 해 피해를 야기했다"고 설명했다. 빗썸에서는 2017년 직원의 개인용 PC가 악성 코드에 해킹당하면서 여기에 저장돼 있던 고객 개인정보 파일 3만 1천건가량이 유출됐다.
유출된 정보에는 고객 이름과 전화번호뿐 아니라 암호화폐 거래내역도 포함됐으며, 해커가 고객 보유 암호화폐 70억원가량을 빼돌린 사고도 발생했다.
검찰은 빗썸 측이 고객 정보를 암호화하지 않은 채로 개인 PC에 저장하고, 악성 프로그램을 방지할 수 있는 백신을 설치하지 않는 등 개인정보 유출 책임이 있다고 판단했다. 암호화폐 탈취와 관련해서도 "동일 IP에서의 과다 접속 등 비정상적인 접속이 계속됐음에도 차단조치를 하지 않았다"고 지적했다.
'여기어때'에서는 같은 해 마케팅센터 웹페이지가 해킹돼 숙박 예약정보 323만건, 고객 개인정보 7만건가량이 유출됐다.
당시 유출된 숙박 이용내역을 악용한 협박·음란문자 4천여건이 발송되기도 했다. 검찰은 "웹페이지의 해킹 취약점을 점검하거나 공격을 예방하는 등의 조치를 이행하지 않았다"며 외부 접속 IP를 제한하는 조치나 해킹 탐지를 위한 모니터링 조직·인력을 배치하지 않은 책임을 물었다.
검찰은 또 전산망 해킹으로 고객 46만여명과 임직원 3만명가량의 개인정보가 유출된 하나투어에도 보호조치 위반 혐의를 적용했다.
검찰은 "외부에서 개인정보처리 시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 인증수단을 추가로 거치도록 조치해야 함에도 이를 지키지 않았다"고 설명했다.
또 시스템 접속이 가능한 관리자 권한의 아이디와 패스워드가 암호화되지 않은 형태로 외주업체 직원의 개인 노트북 등에 메모장 파일 형태로 노출돼 있었던 점도 지적했다.
검찰은 "개인정보 유출 사범은 물론 개인정보처리 기업의 보호조치 의무 위반에 대해서도 철저히 수사하고 엄정 처분할 예정"이라고 설명했다.
빗썸 측은 이날 해명자료를 내고 "2017년 당시 사고 인지 후 방송통신위원회와 수사기관 등에 즉시 신고했고, 이후 시스템 강화와 백신프로그램 업데이트 등 후속조치도 실시했다"고 설명했다.
또 "암호화폐 무단 출금을 방지하기 위해 회원 명의 휴대폰으로 수신된 인증 번호나 OTP인증을 요구하는 등 보호조치도 취하고 있다"고 밝혔다. 하나투어 관계자는 "사건 이후 필요한 추가 조치들을 취했고 이후 재발하지 않도록 최대한 노력하겠다"는 입장을 밝혔다.
/연합뉴스
빗썸, 고객정보 3만건 유출…해커가 암호화폐 70억 빼돌려
'여기어때' 숙박예약·고객 정보 320여만건, 하나투어 49만명 정보 유출 대규모 고객 정보 유출 사건이 발생했던 암호화폐 중개업체 빗썸과 숙박 중개업체 여기어때, 여행 알선업체 하나투어 법인과 책임자들이 재판에 넘겨졌다. 서울동부지검 사이버수사부(김태은 부장검사)는 이들 3개 회사 법인과 개인정보 관리 책임자들을 각각 정보통신망법 위반 혐의로 불구속 기소했다고 19일 밝혔다.
재판에 넘겨진 책임자는 당시 빗썸 감사였던 실운영자 A(42)씨, 여기어때 부사장 B(41)씨, 하나투어 본부장 C(47)씨 등이다.
검찰은 이들 법인 및 책임자들이 "기술적·관리적 보호조치를 소홀히 해 피해를 야기했다"고 설명했다. 빗썸에서는 2017년 직원의 개인용 PC가 악성 코드에 해킹당하면서 여기에 저장돼 있던 고객 개인정보 파일 3만 1천건가량이 유출됐다.
유출된 정보에는 고객 이름과 전화번호뿐 아니라 암호화폐 거래내역도 포함됐으며, 해커가 고객 보유 암호화폐 70억원가량을 빼돌린 사고도 발생했다.
검찰은 빗썸 측이 고객 정보를 암호화하지 않은 채로 개인 PC에 저장하고, 악성 프로그램을 방지할 수 있는 백신을 설치하지 않는 등 개인정보 유출 책임이 있다고 판단했다. 암호화폐 탈취와 관련해서도 "동일 IP에서의 과다 접속 등 비정상적인 접속이 계속됐음에도 차단조치를 하지 않았다"고 지적했다.
'여기어때'에서는 같은 해 마케팅센터 웹페이지가 해킹돼 숙박 예약정보 323만건, 고객 개인정보 7만건가량이 유출됐다.
당시 유출된 숙박 이용내역을 악용한 협박·음란문자 4천여건이 발송되기도 했다. 검찰은 "웹페이지의 해킹 취약점을 점검하거나 공격을 예방하는 등의 조치를 이행하지 않았다"며 외부 접속 IP를 제한하는 조치나 해킹 탐지를 위한 모니터링 조직·인력을 배치하지 않은 책임을 물었다.
검찰은 또 전산망 해킹으로 고객 46만여명과 임직원 3만명가량의 개인정보가 유출된 하나투어에도 보호조치 위반 혐의를 적용했다.
검찰은 "외부에서 개인정보처리 시스템에 접속할 때 아이디나 비밀번호 이외에 일회용 비밀번호 생성기(OTP)·인증서·보안토큰 등 인증수단을 추가로 거치도록 조치해야 함에도 이를 지키지 않았다"고 설명했다.
또 시스템 접속이 가능한 관리자 권한의 아이디와 패스워드가 암호화되지 않은 형태로 외주업체 직원의 개인 노트북 등에 메모장 파일 형태로 노출돼 있었던 점도 지적했다.
검찰은 "개인정보 유출 사범은 물론 개인정보처리 기업의 보호조치 의무 위반에 대해서도 철저히 수사하고 엄정 처분할 예정"이라고 설명했다.
빗썸 측은 이날 해명자료를 내고 "2017년 당시 사고 인지 후 방송통신위원회와 수사기관 등에 즉시 신고했고, 이후 시스템 강화와 백신프로그램 업데이트 등 후속조치도 실시했다"고 설명했다.
또 "암호화폐 무단 출금을 방지하기 위해 회원 명의 휴대폰으로 수신된 인증 번호나 OTP인증을 요구하는 등 보호조치도 취하고 있다"고 밝혔다. 하나투어 관계자는 "사건 이후 필요한 추가 조치들을 취했고 이후 재발하지 않도록 최대한 노력하겠다"는 입장을 밝혔다.
/연합뉴스