IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목[가상화폐 거래소 ‘빗썸’ 해킹 사건] 개인정보 유출 후 비트코인 탈취 등 2차 피해, 손해배상 방안은?2017-07-27 14:19
작성자

http://blog.naver.com/it-is-law/221040022725

 

지난 포스팅에서 비트코인, 이더리움 등 가상화폐의 문제점, 피해사례와 투자 시 유의 사항에 대해 알려드렸었죠.

최근 가상화폐 시세가 급등하며 국내에 많은 투기 수요가 몰리고 있습니다. 그러나 가상화폐 시장은 아직 심각한 안정성 문제를 안고 있어 막대한 투자 손실이 발생할 위험성이 있는 데다, 허위정보 난립, 한탕 대박을 노리는 막대한 자금 유입과 함께 거래소 운영 체계의 허점을 노린 국내외 보이스피싱 범죄, 거래소 해킹, 유사 비트코인 사기 범죄까지 밀려들고 있어 이로 인한 피해가 우려되고 있는데요.

그동안 가상화폐 광풍에 별다른 입장을 내어놓지 않았던 금융당국도 최근 가상통화 투자 시 유의 사항 5가지를 발표하며, 국내 가상화폐 거래량 급증에 따른 이용자 피해를 경고하고 나섰습니다.

 

[ 금융감독원이 발표한 유의 사항 5가지 ]

가상통화는 법정화폐가 아니다. 따라서 정부 보증이 없기 때문에 시장 상황에 따라 가치 인정을 아예 못 받을 수 있다.
가상 통화는 가치 급락으로 인한 손실이 발생할 수 있다. 주식처럼 하루 낙폭 제한이 없어서, 순식간에 반 토막이 날 수도 있는 것이다.
높은 수익률을 보장한다는 다단계 유사 코인은 사기일 수 있다.
언제든 해킹당할 수 있는 위험이 있다.
가상통화 취급업자의 안정성에 유의해야 한다는 것이다.”

 

 


http://view.asiae.co.kr/news/view.htm?idxno=2017070409040755856

특히 최근 들어 가장 우려되는 점은, 국내 가상화폐 거래소가 해커의 주요 표적이 되고 있다는 것입니다.

가상화폐 거래소는 누구나 통신판매업자로 등록한 후 영업이 가능하고, 금융기관처럼 금융 당국의 조사나 제재를 받지 않습니다. 금융당국이 가상화폐를 통화로 인정하지 않은 데다 관련 규정도 없어 사업자 규제 및 이용자 보호 사각지대에 놓여있는 상황인데요.

실제 피해 사례로, 지난 4월 국내 가상화폐 거래소 야피존이 해킹을 당해 당시 시세로 55억 원 상당의 비트코인을 도난당한 데 이어, 며칠 전 국내 최대 규모 거래소인 빗썸이 해킹을 당해 3만여 명의 회원 정보가 유출되는 사건이 발생했습니다.

 



http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=421&aid=0002820693

 

빗썸 측은 거래소 자체가 해킹을 당한 것이 아니라 직원 자택에 있던 개인용 PC에서 고객 개인 정보가 담긴 업무용 문건이 해킹 당했을 뿐이라고 주장하며, 다만 개인 정보가 유출된 것은 사실인 만큼 피해자들에게 각 10만 원씩을 보상하겠다고 밝혔습니다.

그러나 빗썸 측이 이처럼 도의적 책임을 지겠다고 밝힌 데 대해, 일부 피해자들은 빗썸이 이번 사건을 단순 개인 정보 유출 사건으로 한정 짓고 피해 규모를 축소한다며 분노하고 있습니다. 이들은 이전부터 개인 정보 유출이 발생해왔고, 이에 따라 가상화폐 계정에 대한 해킹까지 이뤄져 적게는 수백만 원에서 많게는 수억 원까지 피해를 봤다고 주장하며 단체소송까지 준비하고 있는 것으로 알려졌는데요.

이러한 움직임을 두고 빗썸 측은, 이번에 발표한 피해 보상안은 개인 정보 유출 문제에만 국한될 뿐 해킹 피해에 대한 보상안은 말하기 어렵다는 입장을 보이고 있어 갈등 해결이 쉽지 않을 것으로 예상됩니다.

 


http://news.mt.co.kr/mtview.php?no=2017070314012571256&VRN

 

한 언론 보도에 따르면, 금전 피해를 입은 회원들은 주로 개인 정보 유출 후 보이스피싱을 당한 것으로 드러났습니다. 해커로 추정되는 범인들이 빗썸 직원을 사칭한 전화를 걸어 회원의 OTP(무작위로 생성되는 번호 인증 방식) 번호를 알아낸 뒤 계좌에서 가상통화를 출금한 것인데요. 물론 보이스피싱 피해를 입은 데에는 본인의 부주의도 일부 있겠지만, 그 근본적인 원인은 개인 정보 유출인 만큼 거래소가 그 추가 피해에 대한 손해배상 책임을 응당 져야 할 것입니다.

또한 보다 심각한 문제는 보이스피싱임을 알아채고 OTP 정보를 알려주지 않은 회원들마저 빗썸 계좌에서 가상통화가 빠져나갔다는 주장이 제기된 점입니다. 해당 피해를 입었다고 주장하는 회원들은 해커들이 개인 정보를 이용해 기존 OTP 사용을 중지하는 방법으로 출금한 것이 아닌지 의심하고 있는데요.

 

http://www.boannews.com/media/view.asp?idx=55546

 

한 피해자에 의하면, 갑자기 줄어든 자산을 확인한 후 곧바로 빗썸에 전화를 했더니 본인께서 직접 신분증 사본과 얼굴 사진을 메일로 보내어 OTP 사용 중지를 신청했다고 합니다. 빗썸은 출금할 때 OTP와 문자메시지 인증번호 입력 중 하나를 선택하는 방식을 사용하는 데, 해커가 이미 탈취한 계정 정보로 로그인한 후 이메일 주소와 전화번호를 수정해버리면 OTP만 남게 되고, 위의 방법으로 OTP 사용까지 중지해버리면 문자메시지 인증번호 입력을 통해 출금이 가능해지는 것이죠. 만약 빗썸이 지금처럼 허술한 본인 인증 방식을 택하지 않았더라면, 충분히 피해를 막을 수 있었을 것입니다.

 



http://blog.naver.com/it-is-law/221028789581

 

이전 인터넷나야나랜섬웨어 감염 사건 관련 포스팅에서, 피해 고객은 업체에 대한 민사상 손해배상 청구를 통해 최소한의 피해 보전을 강구할 수 있다는 점을 알려드린 바 있습니다.

3중 백업이 계약서상 명시되어 있거나 주요 홍보수단으로 쓰여 왔음에도 이를 제대로 준수하지 않았다면 계약 위반 등으로 인한 손해배상을 청구할 수 있을 것이며, 혹여 계약서나 약관상 사고 발생 시 데이터 백업 의무를 고객사에게 미루는 등 책임을 전가하는 내용이 들어있다 하더라도 불공정 계약·약관으로써 무효를 주장함과 동시에 손해배상을 청구할 수 있을 것이라는 게 그 요지였는데요.

이번 빗썸 해킹 사건의 경우에도, 개인 정보 유출에 대한 피해 배상은 물론 2차적 피해에 대한 민사상 손해배상을 청구함으로써 피해 보전을 강구할 수 있을 것입니다.

 



https://www.bithumb.com/u1/US108

 

빗썸은 개인정보취급방침에서 모든 이용자 정보는 회사 서버에 암호화하여 보관하고 있다고 공지하고 있습니다. 그렇다면 본 사건 해킹 경로처럼, 직원이 개인 PC에 이용자 개인 정보를 보관한 것은 회사 내부 방침 위반일 수 있으며, 또한 암호화하지 않고 개인 정보를 저장했다면 정보통신망법 위반 소지도 다분한데요.

이처럼 개인 정보 보호를 위한 기술적 조치를 소홀히 했다는 사실이 드러날 경우, 형사상 처벌을 받게 됨은 물론, 이는 2차 피해를 입은 피해자에 대한 민사상 손해배상에서도 유리하게 작용할 가능성이 높습니다.

다만 빗썸에서 유출된 개인 정보로 인해 2차 피해를 입었다는 사실을 입증하는 데에는 변호사 등 법률전문가의 조력이 반드시 필요할 것으로 보입니다. 빗썸이 추가 피해가 발생한 회원에게는 피해 금액 확정 시 전액을 배상할 예정이라고 밝히긴 했지만, 피해자 스스로 피해액을 입증하기는 쉽지 않을 것이며 회사가 이를 이유로 피해를 인정하지 않거나 피해액을 대폭 축소할 여지가 상당한데요.

 

따라서 개인적으로 피해를 해결하기보다는, 개인 혹은 단체로 변호사를 선임함으로써 보다 전문적인 피해 보상책을 강구하시길 권합니다.