더 좋은 서비스 문화를 만들어가기 위한 공간입니다.방송과 통신에 대한 사용자의 권익증진과 인터넷 등 네트워크 환경에서 올바른 여론형성을 위해 기반을 마련하는 정책입니다.
제목 | 가상통화 거래사이트 <빗썸> 개인정보 유출사고, 과징금 4,350만원, 과태료 1,500만원, 시정명령 처분 | ||
---|---|---|---|
담당부서 | 개인정보침해조사과 | 작성자 | 선주영 |
공공누리 | 유형 | 연락처 | 02-2110-1512 |
첨부파일 | 등록일 | 2017-12-12 | |
□ 방송통신위원회(위원장 이효성, 이하 ‘방통위‘)는 12월 12일(화) 전체회의를 개최하여 가상통화 거래사이트(빗썸)를 운영하면서 이용자의 개인정보를 유출한 ㈜비티씨코리아닷컴에 대한 조사결과를 발표하고, 과징금 및 과태료 등의 처분을 하였다. □ 방통위는 해당 사업자로부터 개인정보 유출신고를 받고 지난 7월 1일부터 한국인터넷진흥원(이하 ‘KISA’)과 함께 현장조사를 실시하여, 확보한 사고 관련자료 분석을 통해 해킹의 구체적인 방법 및 절차, 개인정보 유출규모 등을 아래와 같이 확인하였다. o 미상의 해커는 ㈜비티씨코리아닷컴의 직원 채용기간 중 ’17년 4월 28일에 회사와 자문계약 관계에 있는 A씨에게 원격제어형 악성코드가 포함된 이력서 파일을 첨부한 스피어피싱* 메일을 발송하였으며, 이를 실행한 A씨의 개인용 컴퓨터가 해당 악성코드에 감염 되였다. *스피어피싱(Spear phishing)이란 특정한 개인들이나 회사를 대상으로 이메일이나 전자통신사기를 통해 수신자의 개인정보를 요청하거나 정상적인 문서파일을 위장한 악성코드를 실행하도록 하는 공격기법 미상의 해커는 악성코드에 감염된 A씨의 개인용 컴퓨터에서 ‘17년 4월 16일 A씨가 직원B씨로 부터 이메일로 전송받아 저장 중이던 개인정보 파일(“2017년 회원관리 정책.xlsx”)을 포함한 다수의 파일을 외부로 유출하였으며, 해당 파일은 직원C씨가 ‘16년 2월 26일부터 ’17년 7월 15일까지 총 560여 차례 서버에서 추출해 낸 자료로 작성한 것으로 확인되었다. o 아울러, 방통위와 한국인터넷진흥원은 해당 파일에 포함된 이용자 정보와 가상통화 무단 출금 사고로 민원을 제기한 이용자 정보가 일치하지 않음을 확인하고, 추가적인 해킹여부를 파악하기 위해 ‘17년 4월 1일부터 6월 29일까지의 전체 접속기록을 분석하였다. 그 결과 미상의 해커가 약 3,434개 IP에서 약 2백만 번의 사전대입공격**을 수행하였으며, 이 중 4,981개 계정은 로그인에 성공하여 사용자 계정이 탈취되었으며, 266개 계정은 로그인 성공 후 가상통화 출금 로그가 이루어진 사실을 확인하였다. ** 사전대입공격(Dictionary Attack)이란 공격자가 사전에 확보한 ID/PW 정보 또는 일반적으로 흔희 사용되는 정보파일을 가지고 프로그램을 통해 하나씩 모두 대입시켜 보는 방법 o 두 건의 공격을 통해 해커에게 유출 및 탈취된 개인정보는, ‘빗썸’ 서비스를 운영하면서 수집한 이용자 정보 31,506건과 ‘빗썸’ 웹사이트 계정정보 4,981건 등 총 36,487건으로 파악되었다. [개인정보 유출 상세 내역] 구 분 유 출 항 목 건 수 중복제거 스피어피싱 이름, 이메일, 핸드폰번호, 거래건수, 거래량, 거래금액 31,506건 31,506명 사전대입공격 홈페이지 ID(이메일), 패스워드* 4,981건 4,981명 합 계 - 36,487건 36,487명 ※ 이메일은 그 자체로는 특정 개인을 알아 볼 수 없을지라도 다른 정보와 용이하게 결합하여 개인을 알아 볼 수 있는 정보에 해당할 뿐만 아니라, 빗썸 사이트에 해당 ID와 패스워드로 로그인 시 이름·연락처 등을 확인할 수 있어 식별가능한 개인정보로 봄 □ 이번 조사과정에서 ㈜비티씨코리아닷컴은 △개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도 탐지를 소홀히 한 점, △개인정보 파일을 암호화하지 않고 개인용 컴퓨터에 저장한 점, △백신 소프트웨어 업데이트를 실시하지 않은 점 등 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’) 에서 정한 개인정보 보호조치 규정을 다수 위반한 것으로 나타났다. o 방통위는 위와 같은 보호조치 규정을 준수하지 않아 발생한 취약점이 이번 해킹에 직·간접적으로 악용된 점, 해킹으로 인해 이용자 개인정보가 유출되고 금전적 피해가 발생한 점 등을 고려하여 ㈜비티씨코리아닷컴에 대해 △과징금 4,350만원, △과태료 1,500만원, △책임자 징계권고, △위반행위의 중지 및 재발방지대책 수립 시정명령, △시정명령 처분사실 공표 등 행정처분을 의결했다. o 방통위는 현행 정보통신망법에 따라 ㈜비티씨코리아닷컴의 ‘14년부터 ’16년까지 3년간의 평균매출액(2,072백만원)을 기준으로 과징금 기준금액을 산정하였으나, 이러한 산정기준이 이용자 및 매출이 급성장하는 기업에 대한 제재로 적절하지 않다는 지적을 반영하여 향후 정보통신망법을 개정하여 개인정보 유출기업에 대해 부과하는 과징금 금액을 상향할 계획이며, 관련 사항은 제4기 방통위 정책과제로도 발표(‘17.12.6)한 바 있다. □ 이효성 방통위원장은 “가상통화 투기와 취급사이트에 대한 해킹 등 가상통화를 둘러싼 여러 문제가 발생하고 있으므로, 관련 사업자는 시스템 보안조치 및 인증절차를 강화할 필요가 있고 이용자들도 피싱, 비밀번호 관리 등에 각별히 유념하여야 한다”고 당부하면서, “방통위는 가상통화 취급업자에 대한 규제법안이 별도로 마련되기 전까지 현행 정보통신망법에 따라 이용자 개인정보 보호를 위해 노력할 것이며, 관련 사업자에 대한 점검을 강화해 나가겠다”고 밝혔다. 붙임 : ㈜비티씨코리아닷컴 위반사항 요약. 끝. 〈붙임〉(주)비티씨코리아닷컴 위반사항(요약) 위 반 내 용 관련 규정 ?개인정보 보호조치 (접근통제) 법 §28①제2호 ?시정명령 ?과징금 4,350만원 ?과태료 1,500만원 - 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영 소홀 ※ 침입차단시스템(Cisco FWSM Module) 및 침입탐지시스템(TippingPoint 2500N)을 설치·운영하고 있었으나, 시스템에 접속한 IP 주소 재분석 미실시 ‘17. 4. 26.부터 ‘17. 7. 5.까지 해킹 신고 등이 92건 접수되었음에도 불구하고 사전대입 공격으로 추정되는 시도(약 2백만번)에 대하여 탐지하지 못함 시행령§15②제2호 고시 §4⑤ ?개인정보 보호조치 (암호화) 법 §28①제4호 - 직원 강OO팀장 및 이OO은 개인용PC에 이용자개인정보(35,105건)를 암호화하지 않고 저장 시행령§15④제4호 고시 §6④ ?개인정보 보호조치 (백신 소프트웨어 설치·운영) 법 §28①제5호 - 직원 이OO은 업무를 처리하는 개인용PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어 업데이트 미실시 ※ 악성코드가 담긴 한글워드 EPS 취약점은 ‘16. 8월 보완(패치) 시행령§15⑤ 고시 §7 ?개인정보 보호조치 (기타 보호조치) 법 §28①제6호 - 개인정보가 복사된 외부 저장매체 등을 파기하고, USB 또는 파일서버를 통해 개인정보파일을 전달한 기록 등을 남기지 않음 ※ 시스템 담당자 김○○가 시스템에서 개인정보 파일 생성 시 안전한 관리를 위한 보호조치 소홀 시행령§15 고시 §9② |
이전글 | 가족을 납치했다는 사기 전화에 침착하게 대응하세요2017-12-12 |
---|---|
다음글 | 방통위, ?바이오정보 보호 가이드라인? 발표2017-12-12 |
민원안내 : 02-500-9000(평일 09:00~18:00), 팩스 : 02-2110-0153
Copyright © Korea Communications Commission. All Rights reserved.