개인정보 대량유출…빗썸·여기어때·하나투어, 정보관리책임자 3명 불구속 기소

정보통신망법 위반 혐의…檢, 3개 법인도 불구속 기소

"보호조치 의무위반 사범에 대해서 철저 수사할 것"

검찰 자료사진/연합뉴스

지난 2017년 고객 개인정보 유출 사태를 일으킨 빗썸·여기어때·하나투어의 보안 책임자 3명이 법정에 선다. 검찰은 이들 기업이 보호조치 의무를 소홀히 해 고객 개인정보가 유출됐다고 판단했다.

서울동부지검은 이모(42) 전 빗썸 감사와 장모(41) 여기어때 부사장, 김모(47) 하나투어 본부장을 정보통신망법 위반 혐의로 18일 불구속 기소했다고 19일 밝혔다. 또 검찰은 빗썸 등 3개 법인을 같은 혐의로 불구속 기소했다.

검찰에 따르면 이들은 2017년 고객 개인정보 유출 사태 관련 실질적 총책임자로 기업의 개인정보 보호 의무를 위반한 혐의를 받는다. 당시 이들 업체는 기초적인 해킹 기법으로 고객 개인정보가 유출돼 비판을 받았다. 여기어때의 경우 ‘SQL 인젝션’ 해킹 방식에 개인정보가 유출됐다. SQL 인젝션은 데이터베이스에 대한 질의 값을 조작해 해커가 원하는 자료를 빼내는 공격기법이다. 해커가 정보를 탈취할 때 사용하는 가장 흔한 공격 방식 중 하나다. 숙박 이용 내역이라는 민감정보를 다루면서 가장 기초적인 해킹 기법에 대한 방어책 조차 마련하지 않았던 것이다.



‘빗썸’ 역시 기초적인 해킹 방식에 정보가 유출됐다. 방송통신위원회와 한국인터넷진흥원(KISA) 조사 결과에 따르면 빗썸 해킹 기법은 약 200만번의 사전대입공격을 통해 이뤄졌다. 사전대입공격은 해커가 사전에 확보한 ID와 비밀번호 혹은 일반적으로 흔히 사용되는 정보파일을 가지고 프로그램을 통해 하나씩 모두 대입시켜 보는 방법이다. 하루에도 수억원의 자산이 거래되는 가상통화 사이트지만 ‘여기어때’와 마찬가지로 기초적인 해킹 방어 시스템 조차 구축하지 않았던 것이다.

검찰 관계자는 “숙박·여행 예약정보 등 사적 정보와 경제적 가치가 큰 암호화폐 거래 내역 등이 대량 유출돼 2차 피해도 발생한 점을 고려해 재판에 회부했다”고 설명했다.

검찰 관계자는 “개인정보 처리 기업의 보호조치 의무위반 사범에 대해서도 철저한 수사를 통해 합리적 기준을 정립하고 엄정 처분할 예정”이라고 밝혔다.
/서종갑기자 gap@sedaily.com