- 유출된 개인정보로 보이스피싱 사기 - 비트코인 거래소의 취약한 보안 시스템 이용한 듯 - 비트코인 관련 규율 제정 필요성 높아져 [헤럴드경제=정세희 기자] 국내 최대 비트코인 거래소인 ‘빗썸’이 사이버 공격으로 추정되는 외부 침해로 무려 3100여명의 고객 정보가 유출된 것으로 3일 확인됐다. 이번 사건은 유출된 개인정보로 보이스싱 사기로까지 악용되는 등 복합적인 형태를 띔으로써 대책 마련이 시급한 것으로 나타났다.
현재 한국인터넷진흥원과 방송통신위원회 개인정보침해조사과가 현장 조사에 들어갔고, 서울경찰청 사이버수사대와 검찰에서도 수사에 들어가 귀추가 주목된다.
이번 사건에 대해 빗썸은 지난 29일 홈페이지 공지를 통해 “본사 서버와는 무관한 직원 개인 PC에 대한 외부침해로 발생한 사고”라며 “전체 이용자의 3% 수준인 일부 이용자의 휴대전화와 이메일 주소 등의 개인정보가 유출됐다”고 설명했다. 하지만 일부 고객은 전자금융 거래에서 사용되는 일회용 패스워드(OPT)도 유출돼 현금을 도난당한 것으로 드러났다.
국내 비트코인 거래소가 외부공격을 당한 것은 이번이 처음이 아니다. 지난 4월 22일에도 비트코인 거래소인 야피존이 해커 공격으로 코인지갑 4개를 도난당해 약 55억원의 고객 자산이 탈취당한 바 있다.
이번 빗썸 사건의 경우 해킹단이 빼간 고객의 이름과 휴대폰 번호 등 개인정보를 이용해 보이스피싱단이 보이스피싱을 시도하는 등 더욱 치밀한 수법을 보였다. 해킹단과 보이스피싱단이 같은 조직인지 아닌지는 관련 당국이 조사 중이다.
다수의 피해자 말을 종합하면 빗썸을 사칭한 보이스피싱 사기단은 피해자에게 전화를 걸어 “빗썸 온라인 계좌가 해외에서 해킹을 시도하고 있다. OTP 번호를 바꿔야 한다”면서 OPT번호를 빼가 돈을 인출했다.
문자나 전화도 없이 도난당한 사람도 다수 있었다. 한 피해자는 “새벽에 빗썸 계정에 있던 수백만원이 인출돼 돈이 하나도 없는 것을 발견했다”고 말했다.
최근 비트코인 거래소의 개인정보 유출사고가 계속 발생하는 것은 보안에 취약할 수밖에 없는 구조를 띄고 있기 때문으로 분석된다.
비트코인의 거래가 이뤄지는 시스템은 블록체인을 이용하는 방법과 거래소를 이용하는 방법 등 크게 두가지이다.
블록체인은 개인이 송금할 때 거래에 참여하는 모든 사용자가 공공 거래 장부를 만들어 거래 내역을 보여주는 방식을 말한다.
이 경우 비트코인의 보안은 전자지갑에 있는 보안키를 보관하는 방법으로 이뤄지는데, 전자지갑이 PC 하드디스크에 보관되기 때문에 PC 해킹에 쉽게 노출된다.
거래소 시스템을 통해 내부 거래를 할 때 역시 거래소 서버가 해킹당하면 개인정보 유출을 막기 어렵다.
비트코인과 관련된 금융 사기가 발생해도 이를 막을 수 있는 관련 법제도가 없다는 점도 문제로 지적된다. 현재 전자금융거래법상에 비트코인은 공식적인 지급수단으로 인정받지 못하고 있는 상황이다.
관련 전문가는 “아직 비트코인이 전자화폐인지, 선불지급결제수단인지 등 정확한 법적 정의가 내려지지 않아 관련 규율도 만들어지지 못했다”며 “관련 범죄가 발생해도 처벌 근거가 마땅치 않아 법 제정이 시급하다”고 지적했다.
특히 이번 사건의 경우 보이스피싱과 연루돼 있어 이를 잡기가 더욱 어려울 전망이다. 업계 관계자는 “중국을 근거지로 한 보이스피싱의 경우 적발하기 매우 어렵다”고 말했다. 피해자 100여명은 빗썸을 상대로 집단 소송에 들어갈 방침이다.