통신판매업자로 등록만 하면 영업 가능…해커들의 타겟으로 부상
금융당국, 가상화폐는 지위 인정 안해… 관리감독 대상에서도 제외
[아시아경제 한진주 기자] 가상화폐 거래소 빗썸의 회원 개인정보 3만여건이 해킹되면서 허술한 보안 시스템이 도마에 올랐다. 가상화폐 거래가 늘고 있지만 금융당국의 관리나 제재 대상이 아닌데다 규제 사각지대에 놓여있어 해킹의 표적이 되고 있다는 지적도 나온다.
4일 빗썸 등에 따르면 직원이 자택에서 쓰던 개인용 PC가 해킹을 당해 업무용 문서에 있던 3만여건의 회원 정보가 유출됐다. 유출된 문건은 일부 회원을 대상으로 프로모션을 진행하기 위해 작성된 것으로 회원의 휴대전화번호, 이메일주소 등이 포함돼있었다.
빗썸을 비롯한 가상화폐 거래소는 '통신판매업자'로 등록한 후 영업을 한다. 통신판매업자는 누구나 신고만 하면 영업이 가능하다. 가상화폐를 거래하는 사이트지만 금융기관처럼 금융 당국의 조사나 제재도 받지 않는다. 금융당국이 가상화폐를 통화로 인정하지 않았고 관련 규정도 없기 때문이다.
가상화폐 거래소의 허술한 보안 시스템을 노린 해커들의 공격도 이어지고 있다. 이번 해킹 사고가 발생하기 이전부터 가상화폐 거래소와 관련된 해킹 사고 피해를 입었다는 글이 커뮤니티에 업로드됐다. 계정에 있던 금액이 사라졌다거나 다른 사람이 로그인을 시도하는 일이 비일비재하게 발생한 것이다.
이번 사고로 자신의 개인정보가 유출되지 않았음에도 불구하고 외부에서 로그인과 출금을 시도하는 문제도 발생했다. 빗썸의 한 이용자는 "아이디가 유출됐는지 확인하면 안전하다고 나오는데 국내, 미국 등지에서 IP로 접속해서 인출을 시도하고 있다"고 밝혔다.
보안업계 관계자는 "해외에서는 가상화폐 거래소 피싱 사이트가 등장하는 등 가상화폐를 탈취하려는 시도가 이어지고 있다"며 "국내 인터넷 뱅킹 사이트를 피싱하거나 보이스피싱을 일삼던 해커 조직들이 가상화폐로 대상을 옮겨가고 있다"고 말했다.
지난 4월에는 가상화폐 거래소 야피존도 해킹을 당해 55억원 규모의 코인지갑을 탈취당했다. 보유하고 있던 회원 자산의 37.08%에 해당되는 금액이었다. 야피존은 모든 고객들의 자산을 차감시키는 방식으로 손실을 떠넘겼다.
인터넷진흥원 관계자는 "가상화폐가 전자결제지급수단으로 등록된 것이 아니어서 금융위에서 제재를 한다거나 조사를 하지 않는 애매한 상태"라며 "빗썸이 통신판매업으로만 등록돼있어 이번 사고도 개인정보 유출 사고에 초점을 맞춰 조사를 진행해왔다"고 설명했다.
한편 빗썸은 지난 29일 해킹 사실을 확인해 인터넷진흥원에 신고했고, 대검찰청도 피의자를 검거하기 위해 조사에 착수했다.
빗썸 측은 "이번 해킹 사고는 내부망이나 서버, 가상화폐 지갑과 무관하며 회원들의 원화와 가상화폐 예치금은 안전하게 보관되고 있다"며 "관리자 사칭, 이메일 피싱 등 2차사고에 대비해 정보유출이 의심되는 회원 계정은 출금불가상태로 전환했다"고 밝혔다.
빗썸은 개인정보 유출로 피해를 입은 이용자들에게 5일까지 피해 보상금을 10만원씩 지급하기로 했다. 추가 피해를 입은 회원들에게는 피해금액이 확정되는대로 피해금 전액을 보상하겠다고 공지했다.
빗썸은 "개인정보 유출이 확인된 모든 회원들에게 10만원의 보상금을 7월 5일 일괄 지급한다"며 "이번 사건으로 추가 피해를 입은 회원들에게는 피해금액이 확정되는 대로 피해금 전액을 대표거래소의 책임있는 자세로 충분히 보상하겠다"고 밝혔다.
빗썸은 국내 3대 가상화폐 거래소 중 한 곳이며, 세 곳 중 가장 거래량이 많다. 지난 2015년~2016년 국내 거래소에서 거래된 비트코인은 총 1조9172억원에 달한다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>