빗썸 직원 PC 해킹…회원 3만명 개인정보 유출 피해

일부는 가상계좌 예치해돈 돈 부당 인출 피해
빗썸은 70만 회원 가진 국내 최대 가상화폐 거래소
검찰·경찰이 KISA·방송통신위원회와 조사 중
빗썸 “개인정보 유출 피해자 1인당 10만원씩 보상”

하루 거래량이 7천억원을 넘는 국내 최대 가상화폐 거래소 ‘빗썸’(www.bithumb.com) 직원의 개인용컴퓨터(PC)가 해킹을 당해 회원들의 개인정보가 대거 유출되고 일부는 가상화폐 거래를 위해 거래소 내 ‘지갑’(가상계좌)에 충전해둔 돈이 빠져나가는 금전적 피해까지 당했다. 빗썸은 개인정보 유출 피해를 당한 회원 모두에게 1인당 10만원씩 보상하고, 2차 피해에 대해서도 금액이 확정되는대로 보상하기로 했다.

3일 빗썸에 따르면, 이 회사 직원이 집에서 사용하던 개인용컴퓨터가 해킹을 당해 업무용 문서에 담겨있던 회원 개인정보가 대거 유출됐다. 빗썸은 지난 달 29일 이를 파악하는 즉시 수사기관과 정보보호기관 등에 신고하고, 피해가 우려되는 회원들에게 전자우편으로 알렸다고 설명했다. 빗썸은 피해자를 3만명 정도로 추산했으나, 이 업체 회원이 70여만명에 이르는 점을 감안할 때 더 있을 수 있다.

이 사건은 현재 서울중앙지검 첨단범죄수사1부와 경찰청 사이버수사대가 한국인터넷진흥원(KISA)·방송통신위원회와 함께 수사를 진행하고 있다. 빗썸은 “해당 문건은 프로모션을 진행하기 위해 작성된 것으로 확인됐다. 해당 문서에 회원 개인정보가 포함된 점과 암호화되지 않은 점 등에 대한 책임을 물어 문건 작성자를 징계했다”고 밝혔다.

빗썸 회원 가운데 일부는 거래소 내 가상계좌에 예치해둔 돈이 빠져나가는 피해를 당했다고 주장하고 있다. ‘빗썸 해킹으로 손해본 사람들 모임’에 따르면, 회원 백여명의 계좌에서 적게는 몇백만원에서 몇억원의 돈이 인출된 것으로 추정되고 있다. 12억원을 몽땅 털렸다는 주장도 나온다.

빗썸은 이에 대해 “출금을 위해서는 회원 이메일과 비밀번호로 로그인해야 하는데 이번에 유출된 개인정보에 비밀번호는 들어있지 않다. 또한 실제로 출금을 할 때는 1회용 비밀번호 발생기나 문자메시지 인증번호 확인을 거치게 돼 있다. 운영자를 사칭한 보이스피싱 등을 당해 회원 개인이 출금에 필요한 정보를 공개하지 않았다면 출금이 불가능하다”고 주장했다.

빗썸은 이날 누리집에 공지문을 올려 개인정보 유출 피해를 입은 모든 회원에게 1인당 10만원의 보상금을 지급하겠다고 밝혔다. 보상금은 오는 5일 개인정보 유출 피해를 입은 회원들의 계정으로 일괄 지급될 예정이다. 빗썸은 “이번 사건으로 인해 추가적인 피해를 입은 회원들에 대해서는 피해금액이 확정되는 대로 피해금 전액을 보상하겠다”며 “고객들에게 심려를 끼쳐드려 진심으로 사죄한다"고 덧붙였다.

김재섭 기자 jskim@hani.co.kr