국내 최대 가상화폐 거래소, ‘빗썸’ 해킹의 전말

지난달 19일, 30대 도모씨는 전화 한 통을 받고 5분만에 1000만원을 잃었다. 도씨는 비트코인과 같은 가상화폐를 사고 팔 수 있는 사이트인 가상화폐 거래소 ‘빗썸’ 계좌에 1500만원을 예치해두고 있었다. 자신을 빗썸의 운영진이라 소개한 사람은 “해외 해킹 거래가 의심되니 방금 ‘빗썸’ 명의로 간 문자에 적힌 인증번호를 불러달라”고 했다. 빗썸의 인증 문자는 운영진이나 거래자 본인만 보낼 수 있는 것이기에, 도씨는 크게 의심을 하지 못하고 방금 온 문자에 있는 인증 번호를 불러줬다. 전화를 끊은 도씨가 빗썸 사이트에 접속하니 해커로 의심되는 세력이 5분 전에 1000만원을 인출한 기록만 남아있었다.

표시된 부분이 해커들로 의심되는 세력이 도씨에게 보낸 인증 문자다.사진·해킹 피해자 제공

하루 거래량만 7000억원이 넘는 국내 최대 가상화폐 거래소 빗썸에서 지난달 고객 개인정보가 무더기로 유출되면서 수십명이 금전적 피해를 입은 것으로 보인다. 지난달 27일 조성된 ‘빗썸 해킹으로 손해본 사람들 모임’을 통해 파악한 바에 따르면 백여명의 투자자들의 계좌에서 적게는 몇백부터 몇억원의 돈이 인출된 것으로 추정된다. 한 회원은 12억원을 몽땅 털렸다고 주장하고 있다.

해커로 추정되는 세력들은 회원들의 빗썸 계정정보, 계좌정보, 거래정보, 등을 해킹한 뒤 빗썸 본사 직원으로 가장해 회원들에게 직접 전화를 건 것으로 보인다. 그리고 무작위로 생성되는 구글OTP(구글 제공의 일회용 비밀번호 생성 서비스) 인증번호를 불러달라고 해서 회원들의 ‘지갑’에서 돈을 인출해갔다. ‘지갑’은 회원들이 거래를 위해 가상화폐 거래소 상에 돈을 충전해놓은 일종의 가상계좌다.

해커들이 해커들 명의로 된 구글 OTP를 아예 인증수단으로 등록해버린 경우도 있다. 피해자들은 “OTP 재등록을 위해서는 신분증 사진과 얼굴촬영 사진으로 빗썸 고객센터 쪽에 인증을 해야 하는데, 해커들이 위조된 신분증으로 인증을 했을 가능성이 있다”고 말했다. 피해자들은 자신 명의의 구글OTP로 재등록을 하기 위해서 애를 먹었다.

이같은 피해에 대해 빗썸 측은 3일 “직원이 자택에서 이용하는 ‘개인용 PC’가 해킹을 당해 업무용 문서 내 회원정보 일부가 유출되는 사고가 발생했다”며 “지난달 30일 한국인터넷진흥원, 수사기관 등에 신고를 하고 유출이 의심되는 회원에게 개별 이메일 발송을 해서 알렸다”라고 공식 입장을 밝혔다.

한국인터넷진흥원, 방송통신위원회에서는 피해 접수를 받아 신고 절차를 준수했는지, 유출 시 고객들에게 통지가 제대로 됐는지 등을 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 근거해 볼 예정이다. 경찰청은 “수사 의뢰를 받아서 서울경찰청 사이버수사대에 수사를 지시했다”고 밝혔다. 검찰도 조사에 나섰다.

피해자들은 빗썸 측이 안일한 대응을 하면서 피해규모를 키웠다는 입장이다. 피해자 도씨는 “지난달 19일 해킹당한 후 빗썸 측에 피해사실을 알렸으나 인증 방식에 변화가 없었고, 개인정보 유출에 대한 고지도 없었다”고 말했다. 이후 지난달 28~29일에 도씨와 유사한 방식으로 수십명의 계좌에서 돈이 인출됐고 3일까지도 유사 피해가 이어지고 있다.

빗썸 측이 해킹피해 시 보상을 받을 수 있는 손해보험상품이 만료된 것을 뒤늦게서야 알린 것도 논란이 되고 있다. 빗썸은 홈페이지 소개란에 “해킹 피해를 입었을 시, AIG손해보험사의 개인정보보호 배상책임보험‘으로 배상가능”이라고 3일 오후까지 공지해놨다가 관련내용을 삭제했다. 이 손해보험 계약은 지난 4월 만료됐다. 빗썸 측은 “계약 갱신을 준비중이었으며, 보험과 무관하게 보상 절차가 진행될 것”이라고 밝혔다.

3일 오후까지 빗썸 홈페이지에 떠 있던 보험배상 관련 안내사항은 3일 오후 5시 현재 삭제된 상태다.사진·빗썸 홈페이지 캡처

금융당국의 제도 정비가 늦어진 것은 해킹 피해 사태를 키운 근본 원인으로 지적된다. 지난해 10월 임종룡 금융위원장이 가상화폐 관련해 미국·일본 등의 제도화 동향을 보아가면서 제도화를 본격 추진하겠다고 발표하면서 금융위, 기획재정부, 한국은행 등 전문가들로 구성된 ‘디지털통화 제도화 태스크포스(TF)’ TF가 만들어졌다. 별다른 진전이 없는 사이 가상화폐 시장이 급속도로 성장하고 거래소만 열 곳이 넘게 생겼다. 더민주 박용진 의원이 금감원에서 제출받은 ‘가상화폐 국내거래 현황’에 따르면 국내 거래소에서 가상화폐 중 비트코인만 2015~2016년 2년 동안 1조9172억원이 거래됐다. 거액의 금전거래가 있음에도 가상화폐 거래소는 금융회사가 아니고, 쇼핑몰과 같은 통신판매업자로 분류된다. 금융감독원 관계자는 “은행같은 금융사에서 이정도로 큰 사고가 났으면 금감원에서 현장감사를 바로 나갔을텐데, 가상화폐 거래소에 대해서는 그럴 권한이 없다”고 말했다.

이에 박용진 의원은 가상화폐에 관한 법령 개정안을 마련해 이달 중 발의할 예정이라고 3일 밝혔다. 국내에서 비트코인 등 가상화폐 거래 관련 영업활동을 할 때 금융위의 인가를 받아야 한다는 조항을 금융전자거래법상에 신설하자는 내용이다. 박 의원은 “국내 금융소비자들은 금융당국의 법적 제도적 보호 장치 없이 사실상 방치되고 있다”고 말했다.