가상화폐 거래소 등에서 개인정보 유출 피해가 확산될 가능성이 큰 해킹 사건이 발생했을 경우 정부가 임시중지명령 조치를 할 수 있는 법안이 발의됐다. 변재일 더불어민주당 의원은 지난 14일 서비스 임시중지 조치를 도입하고 개인정보 유출시 과징금 부과 기준을 상향하는 ‘정보통신망 이용촉진 및 정보보호 등에 대한 법률 일부 개정법률안’을 대표발의했다고 17일 밝혔다. 개정안은 ▲개인정보 유출로 피해가 확산될 우려가 있어 이를 예방할 긴급한 필요성이 인정되거나 ▲개선하지 않는 경우 ▲휴·폐업 등의 사유로 사업자에 연락이 불가능할 때 해당 서비스를 일시적으로 중지할 수 있도록 했다. 이러한 서비스 임시 중지 요청을 받은 호스팅·앱마켓 사업자는 정당한 사유가 없으면 이에 따르도록 정했다. 또 개정안은 개인정보 유출시 과징금 부과 기준도 상향하는 내용을 담았다. 지난해 발생한 여러 건의 개인정보 유출 사고에서 과징금 부과액이 낮다는 지적이 나왔다. 가상화폐 거래소 ‘빗썸’은 회원 3만6000여명의 개인정보 유출사고에 대해 방송통신위원회로부터 4350만원의 과징금을 부과받았다. 빗썸 1년 매출액 3300억원에 비해 미미한 수준이었다. 개정안은 과징금을 ‘해당정보통신서비스 관련 매출액의 3% 이하 또는 정액 과징금 10억원 중 높은 금액’에 해당하는 금액을 선택할 수 있도록 했다. 매출액 산정이 곤란한 경우 부과할 수 있는 과징금 수준도 현행 4억원 이하에서 10억원 이하로 높였다. 변재일 의원은 “그동안 기업의 부주의로 개인정보 유출 사고가 발생해도 사업자 제재는 솜방망이 처벌에 그쳤다”며 “과징금을 상향해 사업자에게 실질적인 제재를 가하고, 임시중지명령 제도를 도입해 개인정보보호의 실효성을 강화해야 한다”고 밝혔다. 서유미 기자 seoym@seoul.co.kr

지난해 회원 46만여명의 개인정보를 유출한 여행사 ㈜하나투어에 3억원이 넘는 과징금이 내려졌다. 2011년 3월 개인정보보호법 제정 이후 과징금을 부과받은 첫 사례다. 행정안전부는 지난 5일 ‘제1차 과징금부과위원회’를 열고 하나투어에 과징금 3억 2725만원과 임원대상 특별교육·징계권고 및 과태료 1800만원 처분을 의결했다고 6일 밝혔다. 하나투어는 지난해 9월 말 해킹으로 고객 46만 5198명과 임직원 2만 9471명까지 총 49만 4669명의 개인정보를 유출했다. 이 중에는 42만 4757명의 주민등록번호도 포함돼 있었다. 하나투어는 개인정보보호법 제정 이후 과징금을 부과받은 첫 기업이 됐다. 과징금부과위원회는 “주민번호 10만건 이상이 유출된 것은 매우 중대한 위법 행위”라고 강조했다. 행안부·방송통신위원회·한국인터넷진흥원은 지난해 10월 합동조사단을 꾸렸다. 하나투어 해킹경위와 함께 개인정보 관리실태를 현장 조사했다. 업무용 PC와 개별 데이타베이스(DB)에 저장돼 보관되던 회원과 임직원의 개인정보가 유출됐다. 임직원 정보 중에는 병역사항·장애·종교 등 민감한 사항도 있었다. 정부는 하나투어가 개인정보보호법의 안전성 확보조치 중 접근통제 및 암호화를 소홀히 한 것으로 판단했다. 일단 아이디·비밀번호만 확보되면 추가 인증 없이 내부 보안망 PC나 별도 DB에 접속할 수 있었다. 또 DB 서버에 접속할 때 최소한의 시간만 접속이 유지되도록 하는 ‘최대 접속시간 제한조치’도 위반했다. 주민번호가 들어 있던 PC에 파일들을 암호화하지 않는 등 ‘암호화 저장 및 전송조치’를 위반하기도 했다. 행안부는 이번 하나투어 과징금 부과를 계기로 개인정보보호 관련 자율점검 감독체계를 강화하기로 했다. 한편, 이번 조사로 하나투어가 보관 의무가 없는 고객정보를 파기하지 않고 관리하고 있다는 사실도 드러났다. 예약·여행이 완료된 후 5년이 지난 고객 221만 8257명의 개인정보, 2004~2007년에 수집돼 보관의무가 없는 41만 8403명의 주민등록번호도 파기하지 않았다. 오경진 기자 oh3@seoul.co.kr

북한이 가상화폐 탈취를 위해 해킹을 시도 중이라고 국가정보원이 밝혔다. 국가정보원은 5일 국회 정보위원회에 이 같이 보고했다. 정보위 소속 더불어민주당 김병기 의원은 국정원 업무보고 뒤 기자를 상대로 한 브리핑에서 “지난해 북한이 국내 가상화폐 거래소와 회원을 대상으로 해킹 메일을 보내 회원들의 비밀번호를 훔쳐냈다”면서 “거래소는 수백억원 상당의 가상화폐를 탈취당했다”고 전했다. 국정원은 “(북한이) 유명업체의 백신 무력화 기술을 사용했으며, 업체들이 신입 직원을 수시채용한다는 점에 착안해 입사지원서를 위장한 해킹 메일을 발송하기도 했다”고 설명했다. ‘(해킹당한 업체가) 우리나라 업체가 맞느냐’는 질문에는 “우리나라 업체가 맞지만 어떤 업체인지까지 공개할 수 없다. 손해를 입은 개인들이 피해 상황을 통보받았는지는 보고받지 못했다”고 답했다. 김병기 의원은 “탈취당한 것은 맞지만 국정원이 나머지는 유의미하게 차단하고 있다고 한다. 사이버팀 능력이 우수하다고 한다”라고 덧붙였다. 이날 보고에서 국정원은 “(북한이) 안보기관과 방산업체, 대북단체 관계자를 대상으로 이메일이나 SNS를 활용한 해킹을 계속 시도하고 있다”며 “지난해에도 모 방산업체의 해킹 시도를 포착해 피해를 막았고, 악성코드를 은닉한 앱을 스마트폰에 발송해 개인정보 탈취를 시도하는 것을 차단한 바도 있다”고 밝혔다. 이어 “올해에도 가상통화 등 금전 탈취 시도가 계속되고 있으며, 인터넷 등으로 해킹 대상의 다양화가 예상된다. 각별한 주의가 요구된다”고 강조했다. 이에 국정원은 “사이버 정보 통신망 보안에 만전을 기하고, 국제 해킹 범죄조직 활동에 해외 정보기관과 공동대응하기로 했다”는 보고를 했다고 김병기 의원은 전했다. 온라인뉴스부 iseoul@seoul.co.kr

육군 장성 등 전·현직 군 관계자 개인정보 6000건이 해킹돼 중국 등 해외로 유출됐다고 한국일보가 2일 보도했다.보도에 따르면 비영리단체 사이버보안협회는 지난해 9월부터 올해 1월 초까지 피싱 범죄에 사용된 미국, 중국, 홍콩 등 해외 서버를 추적해 전·현직 간부와 병사 6081명의 연락처 등 개인정보를 확보했다고 밝혔다. 이 자료에는 육·해·공군 소속 병사와 하사 이상 대령 이하 전.현직 간부들 이름, 직책 및 직위, 개인 휴대폰 연락처가 들어있었다. 현직 육군 소장 K씨 등 일부 장성과 청와대 고위 간부 L씨 개인정보도 들어있는 것으로 확인됐다. 일부 군부대 일반 유선 전화번호와 군무원들 연락처도 다수 있었다고 신문은 전했다. 협회는 이 자료가 이른바 ‘몸캠 피싱’을 통해 군 관계자 휴대전화나 노트북을 통해 유출된 것으로 보고 있다. 몸캠 피싱이란 온라인 채팅 등으로 음란 영상을 주고받는 과정에서 해커가 악성프로그램을 심어 몰래 정보를 빼내는 범죄 수법이다. 협회는 피해자 시고를 받고 악성 프로그램을 추적하다가 최종적으로 해외 서버에서 해당 자료를 확인한 것으로 전해졌다. 이에 대해 군 당국은 “유출 사실을 알지 못했고, 곧바로 사실관계를 확인해보겠다”고 밝혔다. 온라인뉴스부 iseoul@seoul.co.kr

경찰이 1일 국내 최대 가상화폐 거래소인 빗썸을 압수수색했다. 빗썸의 개인정보 해킹 사건과 관련한 자료 확보 차원에서다. 빗썸에 대한 압수수색은 처음이다.서울경찰청 사이버수사대는 이날 서울 강남구 역삼동에 있는 빗썸 운영사인 비티씨코리아닷컴에 수사관 10명을 보내 서버 등 해킹 피해 관련 자료를 입수했다. 빗썸은 지난해 두 차례에 걸친 해킹 공격으로 빗썸 이용자 정보 3만 1506건과 빗썸 웹사이트 계정정보 4981건 등 총 3만 6487건을 탈취당했다. 유출된 계정 가운데 266개 계정에서 가상화폐가 출금된 것으로 드러났다. 경찰은 이날 확보한 자료를 분석해 정확한 해킹 경로와 해커의 정체 추적에 나선다. 또 빗썸이 개인정보 보호 의무를 소홀히 한 사실이 구체적으로 드러나면 법리 검토를 거쳐 관련자를 입건할 방침이다. 경찰 관계자는 “과징금 부과는 형사처벌과 별개인 행정조치”라면서 “종전에 확보한 자료를 토대로 기본적인 침입 형태 등을 확인하고 침입 경로와 해킹 근원지, 정보보호 부실 여부 등을 정확히 파악하려는 목적”이라고 말했다. 해킹이 내부자 소행인지, 북한 등 외부에서 저지른 것인지는 아직 확인되지 않은 것으로 전해졌다. 김헌주 기자 dream@seoul.co.kr

국내에서 규모가 가장 큰 가상화폐 거래소 빗썸이 1일 압수수색을 받고 있다.경찰에 따르면 서울지방경찰청 사이버수사대는 이날 오전 서울 강남구 역삼동에 있는 빗썸 운영사 비티씨코리아닷컴에 수사관들을 보내 서버 등 해킹 관련 자료를 확보하고 있다. 빗썸은 지난해 2건의 해킹 공격을 당했다. 이로 인해 빗썸이 수집한 이용자 정보 3만 1506건과 빗썸 웹사이트 계정정보 4981건 등 총 3만 6487건이 유출됐다. 앞서 방송통신위원회는 비티씨코리아닷컴이 개인정보 파일을 암호화하지 않은 채 개인용 컴퓨터에 저장하고, 백신 소프트웨어를 업데이트하지 않는 등 기본적인 보안 조치를 소홀히 한 사실을 확인해 과징금과 과태료를 부과했다. 경찰 관계자는 “방통위의 과징금 부과는 형사처벌과 무관한 행정적 조치”라며 “종전에 확보한 자료를 토대로 기본적인 침입 형태 등을 확인하고서 침입 경로와 해킹 근원지를 정확히 파악하려는 목적”이라고 말했다. 빗썸은 앞서 10일에는 국세청 세무조사를 받은 바 있다. 온라인뉴스부 iseoul@seoul.co.kr

300만명에 이르는 가상화폐 투자자들에 대한 실명 확인 절차가 오늘 시작되면서 적잖은 혼란이 예상된다. 은행권은 가상화폐 거래 목적의 신규 계좌 개설을 허용하지 않기로 한 데다 계좌 개설 때 금융거래 목적 확인 절차도 강화하기로 했다. 계좌가 없는 사람은 새로 계좌를 만들어야 하는데 실명 확인을 받지 못해 가상화폐 시장에 진입하지 못하는 일이 다반사가 될 것이다. 직장이 없고 본인 이름으로 내는 공과금이나 신용카드가 없는 주부, 학생, 취업준비생 등이 그런 부류에 속할 것이다. 정부가 고육책으로 내놓은 가상화폐 실명제가 거래의 투명성을 높이고 범죄 피해 예방의 필요 수단이라는 데는 이견이 없다. 일본에서 나흘 전에 발생한 5600억원짜리 거래소 해킹 사건은 결코 남의 일이 아니다. 일본은 지난해 4월 개정된 자금결제법을 시행하면서 가상화폐 거래소 등록을 의무화하는 최소한의 규제 장치를 두고 있지만 한국은 통신판매업체로 신고만 하면 누구나 거래소를 운영할 수 있다. 방송통신위원회가 지난 연말 두 달간 벌인 국내 거래소 보안 점검에서는 조사받은 8곳 모두 미흡하다는 판정을 받았다. 개인정보 처리 시스템의 침입 차단·탐지 장치가 없고 계좌번호 암호화 저장도 하지 않았으니 당연한 결과가 아니었겠는가. 투자자들로서는 열쇠 없는 금고에 돈을 넣어 둔 꼴이었다. 가상화폐 실명제 도입의 불가피성을 인정할 수밖에 없는 이유다. 그렇지만 까다로운 신규 계좌 개설과 시행 초기 계좌 개설 신청 폭주에 따른 혼란상은 그런 당위성과는 별개의 문제다. 이참에 가상화폐 신규 계좌 결정권을 은행권에 떠넘긴 것이 과연 합당한지 따져 볼 일이다. 책임을 회피하면 혼란은 더 커지는 법이다. 금융 당국은 은행이 신규 계좌 개설 문제를 자율 결정할 사안이라면서 동시에 집중 점검 대상이라고 엄포를 놓은 상태다. 은행업은 제조업과 달리 금융 당국의 관리·감독을 받기 때문에 당국의 눈치를 볼 수밖에 없는 구조다. 말이 좋아 ‘자율’이지 정부가 사실상 계좌를 갖고 있는 은행을 틀어쥐고 투자자들을 관리하겠다는 뜻이 아니겠는가. 실명제가 도입되더라도 가상화폐를 통한 우회적인 거래로 신규 투자자를 유입할 가능성이 열려 있다고 하니 이 또한 시장 교란 요인이 될 것이다. 정책 당국은 당장의 비판에 직면하더라도 기존 투자자에 한해 본인 확인을 우선적으로 진행하고, 추후 신규 계좌 발급 문제를 어떻게 하겠다는 등의 구체적인 가이드라인을 제시해 시장의 불확실성을 줄이기 바란다.

“메르스 때 활용… 일정부분 기여” 빌 게이츠도 “신선한 방법” 관심 국내 기술로 개발된 감염병 확산 차단 플랫폼이 올해 세계경제포럼(WEF·다보스포럼)에서 새로운 주제로 시선을 끌었다.황창규 KT 회장은 지난 25일(현지시간) 다보스포럼의 ‘다음 세대를 위한 감염병 대비’ 세션에 패널로 참석해 KT가 추진하는 감염병 확산 방지 플랫폼(GEPP)을 소개했다. 감염병 발생 지역을 다녀온 사람을 로밍 데이터로 추적해 질병 확산을 막는 이 플랫폼은 실제 국내에서 성과를 내기도 했다. 황 회장은 “메르스 마지막 단계에서 저희는 (확산 경로를) 알고 있었는데 당시에는 접근이 쉽지 않았다”면서 “다행히 마지막 격리 조치에 활용돼 메르스 종식에 일정 부분 기여했다”고 설명했다. 세션이 끝난 뒤 기자들과 만난 황 회장은 “다보스(포럼 참석)는 처음”이라면서 “정보기술(IT)이 인류 삶에 도움이 될 수 있는 아이디어를 공유하고 싶었다”고 말했다. 그는 “이 플랫폼을 전 세계로 확산하고 싶다”면서 “개인정보 침해는 문제 되지 않는다”고 잘라 말했다. 황 회장은 “평상시 이 시스템은 빈껍데기일 뿐이다. 사고가 생기면 한 사람만 들어가서 (이동 데이터를) 보면 된다. 원천적으로 프라이버시는 (복제·해킹이 사실상 불가능한) 블록체인 기술로 보호한다”고 말했다. KT는 평상시 개인정보 이용에 동의한 사람에게만 감염병 정보 제공을 하고 세계적으로 감염병이 확산될 때는 동의와 관계없이 전 세계 모든 휴대전화 이용자와 감염병 발생 지역 정보를 공유하는 방안을 추진하고 있다. 문제는 국가마다 다른 통신 관련 법률을 개정하는 일이다. 이 때문에 국제기구 차원의 논의가 필요하다. 이번 다보스 포럼에서 만난 마이크로소프트 창업자 빌 게이츠도 황 회장의 설명을 듣고는 신선한 방법이라며 관심을 보였다고 한다. 빌 게이츠는 개발도상국에 백신을 지원해 주는 민관협력 기구 가비(GAVI)를 후원하고 있다. 황 회장은 “주된 목적은 감염병 확산 방지이지만 다른 분야로의 응용 가능성도 열려 있다”고 강조했다. ‘분절된 세계에서 공유할 수 있는 미래’라는 주제로 열린 다보스포럼은 26일 막을 내렸다. 이재연 기자 oscal@seoul.co.kr

해킹으로 인한 개인 정보 유출 사태가 끊이지 않지만 대법원은 기업에 대한 면죄부 판결을 이어 가고 있다. 대법원 1부(주심 이기택 대법관)는 28일 네이트와 싸이월드 서버 해킹으로 개인정보를 유출당한 강모씨 등 31명이 SK커뮤니케이션즈를 상대로 낸 손해배상 청구 소송에서 원고 패소 판결한 원심을 확정했다고 밝혔다. 또 다른 피해자 18명이 낸 소송도 원고 패소를 확정했다. 1, 2심은 “SK커뮤니케이션즈가 이용자의 비밀번호를 일방향 암호화하고 주민등록번호도 별도로 암호화해 저장·관리하는 등 암호화 기술 등을 이용한 보호조치 의무를 위반하지 않았다”면서 “개인정보 최소수집 의무와 위험 IP 차단 의무 등 법령에서 정한 개인정보 수집 및 관리상의 주의의무를 위반하지 않았다”고 판단했다. 2011년 7월 26∼27일 중국 해커의 서버 침입으로 네이트와 싸이월드 회원 3490여만명의 아이디(ID), 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소 등이 유출되자 상당수 피해자들이 재산적·정신적 손해를 입었다며 1인당 30만원씩을 청구하는 소송을 냈다. 기술이 하루가 다르게 발전하고 있는 상황이지만 법원은 기업 측이 법에서 정한 수준의 보호 조치를 취했다면 해킹으로 인한 배상 책임을 지우지 않고 있는 상황이다. 1심에서 간혹 기업 책임을 인정한 사례도 있으나 항소심과 상고심을 거치며 모두 뒤집어졌다. 2008년 1080만명의 개인정보가 해킹당한 옥션 재판 때도 대법원은 기업의 책임을 인정하지 않았다. 홍희경 기자 saloo@seoul.co.kr

‘반도체 공룡’ 인텔의 ‘중앙처리장치(CPU) 게이트’와 관련해 국내에서도 집단소송 절차가 시작됐다. 법무법인 담우는 8일 인텔을 상대로 한 집단소송 사이트를 개설하고 이날부터 참여 희망자를 받기 시작했다. 담우는 “인텔이 자사의 CPU 칩셋이 해킹에 취약한 ‘멜트다운’(Meltdown) 결함을 숨김으로써 사용자에게 심각한 컴퓨터 성능 저하, 상시적인 해킹 위험에의 노출, 지속적인 패치(수정 프로그램) 업데이트 필요성 등 재산적, 정신적 손해를 가져왔다”고 소송 착수 배경을 설명했다. 담우는 소송 참여 희망자의 규모 등을 파악해 앞으로 해외 로펌과 연계해 구체적인 집단소송을 추진할 계획이다. 인텔이 칩셋의 해킹 취약성을 알고도 수개월 동안 쉬쉬했다는 것이 알려지면서 미국에서는 인텔을 상대로 오리건주, 인디애나주, 캘리포니아 주 등에서 3건 이상의 집단소송이 제기된 상태다. 이번 파문은 인텔이 최근 10년 동안 판매해 온 CPU 칩인 ‘x86’ 프로세서에서 해킹에 취약한 결함인 ‘멜트다운’과 ‘스펙터’(Spectre)가 발견되면서 불거졌다. 멜트다운은 해커들이 하드웨어 장벽을 뚫고 컴퓨터 메모리에 침투해 로그인 비밀번호, 사진, 이메일 등 개인정보를 훔치게 한다는 점에서 이용자에게 치명타를 줄 수 있다. 김민석 기자 shiho@seoul.co.kr

인텔 등 회사의 반도체칩에서 발견된 해킹에 취약한 결함. 해커들이 하드웨어 장벽을 뚫고 메모리에 침투해 로그인, 비밀번호와 데이터 등 개인정보를 훔쳐볼 수 있는 버그다. 인텔이 문제를 인지한 뒤에도 방치해 ‘중앙처리장치(CPU) 게이트’로 번지고 있다.

구글 지적에도 최소 6개월 방치 패치 업데이트 이외 해결책 없어 CEO 작년 말 자사주 대거 매각 ‘반도체 공룡’ 인텔의 중앙처리장치(CPU) 칩에서 해킹에 취약한 결함이 수년간 방치됐던 것으로 드러났다. 인텔이 몇 개월 전 결함을 통보받고도 쉬쉬한 데다 브라이언 크르자니크 최고경영자(CEO)가 지난해 11월 자사주를 대거 팔아치운 사실마저 드러나 비난에 직면하고 있다. ‘배터리 게이트’를 겪고 있는 애플에 이어 ‘CPU 게이트’로 비화하는 조짐이다. 인텔 경쟁사인 AMD, ARM홀딩스 칩에 결함이 있다는 주장도 제기돼 전 세계 PC와 모바일 기기가 개인정보 해킹에 무방비로 노출됐다는 우려가 일파만파 번지고 있다.4일 로이터통신, BBC 등 외신에 따르면 구글 연구진은 인텔, AMD, ARM홀딩스 등 반도체 칩에서 해킹에 취약한 결함인 ‘멜트다운’과 ‘스펙터’ 결함을 발견했다. 이들 결함은 해커들이 하드웨어 장벽을 뚫고 메모리에 침투해 로그인 비밀번호와 데이터 등 개인정보를 훔쳐볼 수 있는 버그다. 구글 연구진은 이런 문제를 발견하고 지난해 6월 인텔에 알린 것으로 알려져 인텔이 최소 6개월가량 문제를 숨긴 것으로 보인다. 인텔은 이날 공식입장을 내고 “인텔 칩만 해킹 공격에 취약하고 버그나 결함 탓인 것처럼 비쳐지고 있는데 사실이 아니다”라면서 “관련 업체들과 함께 문제를 해결할 방법을 찾아 왔다. 이미 운영체제(OS)와 펌웨어(칩 구동 소프트웨어) 업데이트가 시작됐다”고 해명했다. 보안 전문가들은 문제가 된 CPU가 소프트웨어가 아닌 하드웨어 설계 결함이라 패치(수정 프로그램) 업데이트 외에는 마땅한 해결책이 없다고 입을 모은다. 인텔코리아 박민진 이사는 “마이크로소프트, 아마존 등 OS·클라우드 업체들이 이미 보안패치 업데이트를 시작해 늦어도 다음 주말쯤 해결될 것으로 보인다”며 “인텔도 펌웨어 업그레이드를 준비하고 있다”고 밝혔다. 일반 사용자는 운영체제를 최신 버전으로 업데이트하는 게 좋다. 애플도 자사 노트북과 컴퓨터에 대한 업데이트를 실시 중이다. 구글은 “최신 보안 업데이트를 받은 안드로이드폰은 안전하다”고 밝혔다. 한국인터넷진흥원(KISA)은 일반 이용자를 위해 ‘보호나라’ 홈페이지(www.boho.or.kr)에 관련 내용을 공지했다. 일각에서는 업데이트 시 속도가 느려지고 성능이 떨어질 수 있다고 우려한다. 업데이트된 패치를 적용한 뒤 CPU 성능이 최대 30% 떨어졌다는 외신 보도도 나오고 있다. 고려대 정보보호대학원 김승주 교수는 “당장 피해가 크지 않을 수 있지만 CPU를 대량으로 쓰는 클라우드업체와 금융권은 상황을 예의 주시할 필요가 있다”고 지적했다. 이런 가운데 브라이언 크러재니치 CEO가 자사주 2400억 달러(255억원)어치를 팔아치운 시점이 2개월 전이었다는 사실이 드러나 내부정보를 이용해 발을 뺀 것 아니냐는 논란도 벌어졌다. 인텔 대변인은 “주식 매각은 이번 사안과 무관하게 이뤄진 것”이라고 반박했다. 서울 이재연 기자 oscal@seoul.co.kr 워싱턴 한준규 특파원 hihi@seoul.co.kr

가상화폐 거래소 ‘유빗’이 해킹 피해로 파산 절차에 들어간 가운데 유빗이 사고 18일 전에 보험에 가입한 것으로 확인됐다.20일 가상화폐 거래 및 보험 업계에 따르면 유빗은 지난 1일 DB손해보험의 사이버종합보험에 30억원 규모로 가입했다. 사이버종합보험은 데이터 손해 또는 도난, 정보유지 위반 배상책임, 개인정보 침해 피해, 사이버 협박, 네트워크 보안 배상책임 등 사이버 관련 8가지 위험을 보장하는 보험상품이다. 유빗은 이 중에서 정보유지 위반 배상책임, 개인정보 침해 피해, 네트워크 보안 배상책임 등 5가지 위험을 보장받는다. 보험료는 2억 5000만원 수준이며 보험 가입기간은 1년이다. DB손해보험은 해킹 피해로 결론날 경우 유빗에 보험금을 30억원 줘야 한다. 하지만 60% 이상을 재보험사에 출재해 실제 부담할 금액은 10억원 안팎으로 예상된다. 보험금이 피해금액보다 적어 투자자들이 충분한 보상을 받기는 어려울 것으로 우려된다. 현재 알려진 피해금액은 172억원으로 사이버종합보험으로 지급되는 최대 보험금 30억원의 5배 이상이다. 게다가 실제 보험금 지급까지 적지 않은 시간이 걸린 것으로 전망된다. 보험에 가입한 지 얼마 안 돼 해킹 피해가 발생, ‘보험 사기’ 의혹이 불거진 상황에서 DB손해보험이 경찰 수사 결과가 나오기 전에 보험금을 줄 이유가 없기 때문이다. 유빗의 전신인 야피존이 올 4월 당한 해킹에 대한 경찰 수사 결과도 아직 나오지 않았다. 보험업계는 가상화폐거래소의 투자자 보호장치가 미흡한 만큼 보험을 활용할 필요가 있다고 지적하고 있다. 현재 사이버 위험 관련 보험에 가입된 거래소는 유빗을 비롯해 빗썸, 코인원 등 3곳이다. 빗썸은 현대해상의 사이버종합보험과 흥국화재의 개인정보유출 배상책임보험에, 코인원은 현대해상의 개인정보 배상책임보험에 각각 가입돼 있다. 보상 한도는 각 30억원이다. 손해보험사 관계자는 “해킹 피해가 발생하면 투자자 손실 규모가 커 보상 한도를 늘리고 거래소의 보험가입을 의무화할 필요가 있다”고 말했다. 온라인뉴스부 iseoul@seoul.co.kr

국내 가상화폐(암호화폐) 거래소 유빗이 지난 4월에 이어 또다시 해킹을 당해 파산 절차를 밟게 됐다. 국내 가상화폐 거래소가 파산에 들어간 것은 이번이 처음이다. 피해액은 172억원에 달하는 것으로 전해졌다. 해당 업체는 첫 해킹 때 이미 수십억원의 손해를 입고 경찰 수사를 받는 중에도 이름만 바꿔 영업을 한 것으로 드러났다. 거래소 유빗 운영사 야피안은 19일 홈페이지에 “새벽 4시 35분쯤 전체 자산의 17%를 손실했고, 그 외 코인은 (외부 저장 장치인) 콜드스토리지에 보관하고 있어 추가 손실은 없었다”며 “오후 2시를 기준으로 모든 코인과 현금의 입출금을 중단하고 파산 절차를 진행할 것”이라고 공지했다. 야피안은 지난 4월 거래소 야피존이 전체 화폐 보유량의 약 37%(55억여원)를 해킹당하자 거래소 이름을 유빗으로 바꾸고 영업을 이어 왔다. 경찰 관계자는 “야피안 측이 172억원의 피해를 봤다고 진술했지만 정확한 규모는 추가 조사가 이뤄진 뒤 드러날 것”이라고 말했다. 이에 따라 1차 해킹을 포함한 전체 피해액이 200억원대를 넘길 가능성도 배제할 수 없다. 업계에 따르면 유빗은 다른 거래소와 교류가 없는 중소형 업체로 알려졌다. 최근 발족한 한국블록체인협회 준비위원회 회원사도 아니다. 유빗은 30억원의 사이버종합보험과 운영권 매각 등을 통해 손실을 최소화하겠다고 밝혔다. 잔고의 75%(이날 오전 4시 기준)는 미리 출금할 수 있도록 하고 나머지는 정리가 끝나면 지급한다는 입장이다. 사건을 접수한 서울지방경찰청 사이버안전과는 한국인터넷진흥원(KISA), 회사 관계자 등을 면담하고 서버 복제와 악성코드 유무 확인 등 현장 조사를 진행 중이다. 해킹 피해가 확실하면 북한이 관여했는지 수사한다는 계획이다. 국가정보원은 지난 16일 야피존 등 거래소 해킹에 북한이 관련됐다는 정보를 확보해 검찰에 넘겼다고 알려졌다. 통일부도 지난 18일 “비트코인 관련 (북한) 동향은 저희도 지켜보고 있다”면서 “대북 제재를 회피하고 외화벌이를 하기 위해 북한이 다양한 활동을 하고 있는 것으로 알고 있다”고 밝혔다. 국내 최대 가상화폐거래소인 빗썸에서는 지난 6월 이메일과 휴대전화 번호 등 개인정보가 유출되는 사건이 일어나 피해를 본 투자자들이 집단소송에 나섰다. 9월에는 코인이즈가 해킹 공격을 받았다. 일본 가상화폐거래소 마운트곡스는 2014년 해킹으로 5000억원의 피해를 입고 파산하기도 했다. 한편 가상화폐는 사실상 해킹이 불가능하지만 가상화폐를 보관하는 전자지갑은 해킹을 당할 수 있다. 언론에 보도되는 가상화폐거래소 해킹은 대부분 전자지갑이 털린 사례다. 블록체인협회 준비위가 최근 자율규제안으로 고객 예치금의 70% 이상을 콜드스토리지에 의무적으로 보관하도록 한 것도 이 때문이다. 콜드스토리지는 인터넷과 연결되지 않아 해킹 피해가 원천 차단된다. 김주연 기자 justina@seoul.co.kr 박재홍 기자 maeno@seoul.co.kr

북한의 해커집단이 지난가을부터 스마트뱅킹 이용자의 비밀번호 등을 훔치는 공격을 개시했다고 미국 보안 전문가의 말을 인용해 일본 산케이신문이 18일 보도했다.미국 보안기업 매커피의 크리스티안 비크 수석 조사관은 산케이와의 인터뷰에서 “김정은 북한 노동당 위원장이 지원하는 해커집단 ‘라자루스’(Lazarus)가 지난 10월쯤부터 한국과 일본을 포함한 아시아·태평양 지역 스마트뱅킹 이용자의 스마트폰과 태블릿PC 단말에 바이러스를 심은 메일을 보내는 공격을 하고 있다”고 밝혔다. 보도에 따르면 북한의 해커집단이 은행, 기업을 표적으로 금전을 뺏는 공격을 한 적은 많지만, 개인의 재산을 집중적으로 노린 것은 처음이다. 이 해커집단은 이용자들에게 가짜 사이트 접속을 유도한 뒤 이 사이트의 지시에 따라 입력한 ID와 비밀번호 등 개인정보를 훔쳐 왔다. 비크 수석 조사관은 “실제로 금전이 도난당한 사례는 아직 확인되지 않았다”고 설명했다. 이어 “국제사회의 대북 제재가 강화된 상황에서 금전을 훔치려는 목적 외에도 한국과 일본에 대한 정치적인 긴장도 이런 공격을 감행하는 배경이 되고 있다”고 말했다. 라자루스는 2016년 방글라데시 중앙은행을 공격해 8100만 달러(약 883억원)를 빼앗은 북한의 해커집단으로 알려져 있다. 도쿄 이석우 특파원 jun88@seoul.co.kr

박상기 법무부 장관은 14일 비트코인 등 가상화폐의 투기 과열을 이용한 범죄에 엄정하게 대처할 것을 검찰에 지시했다. 이날 지시는 전날 국무총리실에서 열린 관계부처 차관회의에서 논의된 범정부 긴급 대책에 따른 것이다. 법무부에 따르면 박 장관은 최근 들어 다양해지고 있는 가상화폐 관련 범죄에 대해 “철저히 수사하고 엄정히 대처하라”고 검찰에 주문했다고 밝혔다. 최근 비트코인 등 가상화폐가 투기의 수단이 되면서 이를 이용해 ▲다단계·유사수신 방식의 가상화폐 투자금 모집 ▲가상화폐 채굴 빙자 투자 사기 ▲가상화폐 거래자금 환치기 ▲가상화폐의 마약거래 대금 사용 ▲불법 자금 세탁 등 범죄수익은닉 ▲거래소 해킹을 통한 개인정보 유출 등이 자주 발생하고 있다. 국회도 ‘비트코인 광풍’에 대한 대책 마련에 착수했다. 여야는 올해 안에 규제 방안 등 구체적인 대책을 마련해야 한다는 데 공감대를 이룬 것으로 알려졌다. 이날 여야 정당의 아침 회의 열쇳말은 단연 ‘비트코인’이었다. 더불어민주당은 비트코인과 관련, 가이드라인 마련 등 논의 필요성에는 당 차원의 공감이 있는 것으로 전해졌다. 자유한국당 함진규 정책위의장은 이날 원내대책회의에서 “당 차원에서 비트코인의 문제점을 인지하고 있고 적극 대처하겠다”고 발언했다. 바른정당 유승민 대표도 이날 회의에서 “정부가 (비트코인과 관련해) 첫 번째 대책에서 비교적 신중한 접근을 했다고 평가한다”면서 “다만 앞으로 규제와 과세를 어떻게 하겠다는 건지 분명하고 구체적인 원칙과 기준을 정의하는 문제는 여전히 남아 있다”고 말했다. 김동현 기자 moses@seoul.co.kr 명희진 기자 mhj46@seoul.co.kr 서유미 기자 seoym@seoul.co.kr

박상기 법무부 장관이 가상통화의 투기 과열과 이를 이용한 범죄행위를 막기 위해 검찰에 철저히 수사할 것을 주문했다. 사기, 불법거래, 자금은닉, 정보유출 등에 엄정 대처하라는 것이다.법무부는 14일 박 장관이 다양한 유형의 가상통화 관련 범죄에 대해 철저히 수사하고 엄정히 대처할 것을 검찰에 지시했다고 밝혔다. 박 장관은 가상통화 관련 범죄의 주요 유형으로 다단계·유사수신 방식의 가상통화 투자금 모집, 가상통화 채굴을 빙자한 투자 사기, 가상통화 거래자금 환치기 등 외국환거래법 위반, 가상통화를 이용한 마약 등 불법거래, 가상통화 거래를 통한 불법 자금 세탁 등 범죄수익은닉, 거래소 해킹을 통한 개인정보 유출 등을 제시했다. 박 장관의 지시는 전날 홍남기 국무조정실장 주재로 열린 관계부처 차관회의에서 마련한 범정부 긴급 대책에 따른 것이다. 이날 회의에서 정부는 미성년자의 가상통화 거래와 금융기관의 매입·투자 등을 금지하는 한편 관련 범죄에 대한 단속과 처벌을 한층 강화하기로 했다. 현재 수사가 진행 중인 가상통화 관련 범죄로는 서울중앙지검의 비트코인 거래소 해킹 사건, 인천지검의 가상통화 이더리움 투자금 편취사건, 인천지검 부천지청의 비트코인 이용 신종 환치기 사건 등이 있다. 법무부는 “선의의 피해자 보호를 위해 관계부처와의 협업에도 최선을 다하겠다”고 밝혔다.한편 전날 정부의 ‘가상화폐 긴급 대책’은 발표 최소 2시간 40분 전에 온라인에 유출된 것으로 확인돼 논란을 빚었다. 당시 홍남기 국무조정실장 주재로 ‘가상통화 관계부처 차관회의’를 열어 대책을 논의해 오후 2시 36분즘 보도자료를 이메일로 배포됐지만 한참 앞선 오전 11시 57분 가상화폐 온라인커뮤니티에 ‘긴급회의 결과라고 합니다(믿거나 말거나)’라는 제목으로 대책회의 보도자료 사진 2장이 올라왔고, 게시자는 “저도 퍼왔습니다”라고 적었다. 커뮤니티에 올라온 이들 자료의 내용은 뒤늦게 배포된 공식 보도자료의 내용과 거의 일치했다. 일부 문장 배열이 달라져 초안이 유출된 것으로 추정됐지만 이런 정보를 사전에 접한 투자자들은 발 빠르게 대처했을 것으로 보인다. 이로 인해 자료를 접하지 못한 다른 투자자들에게 피해를 줬을 가능성이 크다. 온라인뉴스부 iseoul@seoul.co.kr

정부가 최근 투기과열 조짐을 보이고 관련 범죄행위가 증가하고 있는 가상화폐에 대한 긴급대책을 마련해 발표했다.미성년자의 가상화폐 거래를 금지하고 투자수익에 대해 세금을 매기는 방법을 검토하기로 했다. 정부는 13일 정부서울청사에서 홍남기 국무조정실장 주재로 ‘가상통화 관계부처 차관회의’를 열고 이와 같은 내용의 대책을 확정했다. 정부는 우선 신규투자자의 무분별한 진입에 따른 투기과열을 막기 위해 은행이 거래자금 입출금 과정에서 이용자 본인임을 확인하도록 하고, 이용자 본인 계좌에서만 입출금이 이뤄지도록 관리하기로 했다. 특히 고교생 이하 미성년자와 비거주자(외국인) 등의 계좌개설 및 거래금지 조치를 추진하는 한편 금융기관의 가상통화 보유·매입·담보취득·지분투자를 금지한다. 이는 제도권 금융회사의 가상통화 투자가 ‘투기심리’를 자극할 수 있기 때문이다. 조속한 시일 내 입법조치를 거쳐 투자자 보호, 거래투명성 확보 조치 등의 요건을 갖추지 않고서는 가상통화 거래가 이루어지지 않도록 한다. 가상통화 거래소 운영을 위해서는 예를 들어 고객자산의 별도 예치, 설명의무 이행, 이용자 실명확인, 암호키 분산보관, 가상통화 매도매수 호가·주문량 공개 등 의무화를 검토한다.가상통화 거래소에 자금세탁방지의무를 부과하고 은행 등의 의심거래 보고의무도 강화한다. 가상통화 자금모집 행위인 ICO(Initial Coin Offering)와 신용공여, 방문판매·다단계판매·전화권유판매 등 가상통화 거래소의 금지행위를 명확히 규정하고 위반 시 처벌한다. 정부는 민간전문가와 관계기관 TF(테스크포스)를 구성해 주요국 사례참고 등을 통해 가상통화 투자수익에 대한 ‘과세 여부’를 심도 있게 검토하기로 했다. 정부는 선의의 피해자가 발생하지 않도록 투기과열 분위기에 편승한 가상통화 관련 범죄에 대해 단속과 처벌을 한층 강화하기로 했다. 검찰과 경찰은 다단계·유사수신 방식의 가상통화 투자금 모집, 기망에 의한 가상통화 판매행위, 가상통화를 이용한 마약 등 불법거래, 가상통화를 통한 범죄수익 은닉 등 가상통화 관련 범죄를 엄정 단속한다. 현재 수사 중인 ▲비트코인거래소 해킹사건(서울중앙지검) ▲가상통화 이더리움 투자금 편취사건(인천지검) ▲비트코인 이용 신종 환치기 사건(부천지청) 등에 대해 철저히 수사하기로 했다. 대규모 사건이나 죄질이 중한 경우는 원칙적으로 구속수사하고 엄정 구형한다는 원칙도 세웠다. 경찰청은 가상통화 투자빙자 사기·유사수신 등 불법행위 집중단속을 확대하고, ‘해킹·개인정보 침해사범’ 등 시의성 있는 특별단속도 추진한다. 경찰청은 산업부 등과 함께 가상통화 채굴업의 산업단지 불법입주도 일제 단속한다. 가상통화 거래자금 환치기 실태조사 및 관세청 등 관계기관 합동단속과 함께 해외여행경비를 가장한 가상통화 구매자금 반출을 방지하고자 고액 해외여행경비 반출 관리를 강화한다. 가상통화거래소 개인정보유출사건 등에 대한 조사를 통해 가상통화 거래구조 등을 확인하고 위법행위 발견 시 엄단키로 했다. 공정거래위원회는 현재 4개 주요 가상통화 거래소의 약관을 심사 중이며, 나머지 거래소에 대해서도 약관의 불공정여부를 일제 직권조사한다. 과기정통부와 방통위는 해킹·개인정보 유출사고 예방을 위해 거래소를 주기적으로 점검해 정보통신망법위반사항이 있는 경우 제재하고, 개인정보 유출 등 지속적 법규위반 사업자에 대해 ‘서비스 임시 중지조치제도’를 도입하기로 했다. 개인정보 유출 시 과징금 부과기준을 상향하는 방안도 추진한다. 일정 규모 이상(매출액 100억이상, 일평균 방문자수 100만이상)의 거래소는는 2018년부터 정보보호관리체계(ISMS)인증을 의무화하는 등 보안을 강화한다. 빗썸, 코인원, 코빗 등이 해당한다. 이밖에 가치변동에 따른 손실, 사기범죄, 해킹위험 등 가상통화 투자의 위험성을 주기적으로 경고하는 방안도 논의됐다. 이같은 정부안이 성사되면 가상화폐를 정부가 사실상 관리하는 셈이 된다. 정부는 “가상통화 투기 부작용이 발생하는 부분은 지속해서 바로 잡아 나가되, 정부 조치가 블록체인 등 기술발전에 장애가 되지 않도록 균형 잡힌 정책노력을 기울이기로 했다”고 발표했다. 이어 “블록체인은 가상통화에만 사용되는 것이 아니며 다양한 산업 분야에 적용될 수 있는 범용기술로서, 국내 기술개발과 산업진흥을 위해 지원·육성해 나갈 것”이라고 덧붙였다. 온라인뉴스부 iseoul@seoul.co.kr

개인정보 3만 6000여건을 유출한 가상화폐 거래사이트인 빗썸에 과징금 4350만원과 과태료 1500만원이 부과됐다. 빗썸의 하루 수수료가 30억에 이르는 것을 감안하면 ‘솜방망이’ 제재라는 비판이 제기된다. 국내에서 가상화폐 거래소에 내려진 첫 제재 조치다.방송통신위원회는 12일 전체 회의를 열고 개인 정보 3만여 건 유출 사고를 일으킨 빗썸 운영 업체 ㈜비티씨코리아닷컴에 대해 이같은 결정을 내렸다. 방통위는 비티씨코리아닷컴에 이러한 부과 조치와 함께 책임자 징계 권고, 재발방지대책 수립 등의 행정처분을 의결했다. 방통위는 “보호 조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려했다”고 설명했다. 방통위에 따르면 2건의 공격으로 해커에게 유출된 개인정보는 빗썸이 수집한 이용자 정보 3만 1506건, 빗썸 웹사이트 계정정보 4981건 등 총 3만 6487건이다. 신원 미상의 해커는 비티씨코리아닷컴의 직원 채용 기간이던 지난 4월 28일 회사와 자문 계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일이 있는 스피어피싱 메일을 발송했고, 이를 실행한 A씨의 개인용 컴퓨터가 악성코드에 감염됐다. 이후 해커는 감염된 A씨의 컴퓨터에서 회사가 수집한 개인정보 파일을 빼돌렸다. 또 해커는 3434개 IP에서 개인정보를 일일이 맞춰 보는 방식의 사전대입공격을 약 200만번 수행했고, 이 중 4981개 계정의 로그인에 성공했다. 이 중 266개 계정은 로그인 후 가상통화 출금이 이뤄졌다. 이효성 방통위원장은 “가상통화 취급업자에 대한 규제 법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화하겠다”고 말했다. 한편 지난 7일 기준 우리나라 거래소 전체의 비트코인 하루 거래량은 11만 4251비트코인으로 전년 동기(5713비트코인) 대비 20배로 늘었다. 비트코인 1개당 시세는 같은 기간 90만 7882원에서 1994만 8297원으로 22배로 늘었다. 단순 계산해서 7일 하루에만 약 2조 2791억원어치 비트코인이 거래된 것이다. 다른 가상화폐 거래소들도 0.136%의 실질 수수료율을 적용한다고 가정하고 7일 기준 하루 비트코인 거래량 2조 2791억원으로 계산해보면, 업체들은 비트코인 거래 수수료로만 약 30억 9959만원정도를 가져갔다는 계산이 나온다. 지난달 국내 1위 규모 거래소 ‘빗썸’의 수수료 수익은 605억 7000만원에 달했다고 한국경제가 보도했다. 6월말 기준 빗썸의 자산총계는 2100억원으로 알려져 있다. 순자산은 390억원 가량으로 추산됐다. 올해 1~7월 당기순이익은 390억원으로 지난해 같은 기간(25억원)의 15배에 달한다. 영업이익률은 82.3%에 달했다는 보도도 나왔다. 온라인뉴스부 iseoul@seoul.co.kr

개인정보 3만 6000여건을 유출한 가상화폐 거래사이트인 빗썸에 과징금 4350만원과 과태료 1500만원이 부과됐다. 국내에서 가상화폐 거래소에 제재 조치가 내려진 것은 이번이 처음이다. 방송통신위원회는 12일 전체회의를 열고 빗썸을 운영하는 비티씨코리아닷컴에 이러한 부과 조치와 함께 책임자 징계 권고, 재발방지대책 수립 등의 행정처분을 의결했다. 방통위는 “보호 조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직간접적으로 악용된 점, 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려했다”고 설명했다.방통위에 따르면 2건의 공격으로 해커에게 유출된 개인정보는 빗썸이 수집한 이용자 정보 3만 1506건, 빗썸 웹사이트 계정정보 4981건 등 총 3만 6487건이다. 신원 미상의 해커는 비티씨코리아닷컴의 직원 채용 기간이던 지난 4월 28일 회사와 자문 계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일이 있는 스피어피싱 메일을 발송했고, 이를 실행한 A씨의 개인용 컴퓨터가 악성코드에 감염됐다. 이후 해커는 감염된 A씨의 컴퓨터에서 회사가 수집한 개인정보 파일을 빼돌렸다. 또 해커는 3434개 IP에서 개인정보를 일일이 맞춰 보는 방식의 사전대입공격을 약 200만번 수행했고, 이 중 4981개 계정의 로그인에 성공했다. 이 중 266개 계정은 로그인 후 가상통화 출금이 이뤄졌다. 이효성 방통위원장은 “가상통화 취급업자에 대한 규제 법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화하겠다”고 말했다. 장세훈 기자 shjang@seoul.co.kr