방통위는 12일 오후 정부과천청사에서 전체회의를 열고 직원 개인 PC가 해킹돼 고객정보 3만6487건이 유출된 비티씨코리아를 상대로 과징금 4350만원과 과태료 1500만원을 각각 부과하기로 의결했다. 아울러 △책임자 징계권고 △위반행위의 중지 및 재발방지대책 수립 시정명령 △시정명령 처분사실 공표 등의 행정처분도 함께 내려졌다.
그 결과 해커는 지난 4월28일 비티씨코리아 직원채용 기간 중 회사와 자문계약 관계에 있는 A씨에게 악성코드가 포함된 스피어피싱(Spear phishing) 메일을 발송했고, A씨가 이를 실행해 PC에 해당 악성코드에 감염됐던 것을 확인했다.
다만, 방통위는 해당 파일에 포함된 이용자 정보와 가상화폐 무단 출금 사고로 민원을 제기한 이용자 정보가 정확히 일치하지 않았다고 밝혔다. 방통위는 추가적인 해킹 여부를 조사하는 과정에 해커가 약 3434개의 IP(인터넷주소)에서 약 200만 번의 사전대입 공격(ID와 패스워드를 흔히 사용되는 정보파일 프로그램으로 모두 대입하는 방법)을 수행한 것으로 파악했다.
이후 해커는 로그인에 성공한 사용자 계정 4981개를 탈취했다. 이 중 266개 계정에서는 가상화폐 출금까지 이뤄졌다. 두 건의 공격을 통해 해커에게 유출 및 탈취된 개인정보는 이용자 정보 3만1506건과 계정정보 4981건 등 총 3만6487건으로 방통위는 집계했다.
이 시각 인기 뉴스
방통위는 비티씨코리아가 △불법적인 개인정보 유출 시도 탐지를 소홀히 한 점 △개인정보 파일을 암호화하지 않고 개인 컴퓨터에 저장한 점 △백신 소프트웨어 업데이트를 실시하지 않은 점 등 개인정보 보호조치 규정을 다수 위반했다고 봤다.
이효성 방통위원장은 "가상화폐 투기와 취급 사이트에 대한 해킹 등 가상화폐를 둘러싼 여러 문제가 발생하고 있다. 관련 사업자는 시스템 보안조치 및 인증절차를 강화할 필요가 있다"며 "방통위는 가상화폐 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 법에 따라 이용자 개인정보 보호를 위해 노력하는 한편, 관련 사업자에 대한 점검을 강화해 나가겠다"고 전했다.
