경향신문 자료사진

<이미지를 클릭하시면 크게 보실 수 있습니다>

고객의 개인정보를 소홀히 관리해 해킹당한 암호화폐중개업체 ‘빗썸’, 숙박중개업체 ‘여기어때’, 여행업체 ‘하나투어’가 재판에 넘겨졌다.

서울동부지검 사이버수사부는 빗썸, 여기어때, 하나투어 등 3개 업체와 각 업체의 개인정보관리책임자 3명을 정보통신망법 위반 혐의로 전날 불구속 기소했다고 19일 밝혔다. 이들은 고객의 개인정보를 안전하게 관리하지 않아 대량 유출되게 한 혐의를 받는다.

검찰에 따르면 빗썸은 2017년 4월 당시 감사 직책이었지만 실질적인 업체 운영자였던 이모씨(42)의 개인 컴퓨터에 저장돼 있던 고객의 성명, 전화번호, 이메일, 암호화폐거래내역 등 개인정보 3만1000여건을 해킹당했다. 이씨는 고객정보를 암호화하지 않은 채 개인 컴퓨터에 저장했다. 악성프로그램을 방지하고 치료할 수 있는 보안 업데이트를 하지 않고 백신조차 설치하지 않아 e메일 해킹에 그대로 노출됐다. 해커는 같은 해 5월부터 10월까지 빗썸 고객센터를 사칭한 전화를 걸어 200여회에 걸쳐 70억원 상당의 암호화폐를 가로챘다.

여기어때는 2017년 2~3월 가맹 숙박업체의 고객 예약정보를 확인할 수 있는 마케팅센터 웹페이지에 대한 관리자 인증값을 탈취당했다. 해커는 최고관리자 권한으로 침입해 고객명, 전화번호, 일자, 업소명 등 숙박 예약정보 323만여건과 고객명, e메일 주소, 기기정보 등 개인정보 7만여건을 빼냈다. 부사장 장모씨(41)는 마케팅센터 웹페이지의 해킹 취약점을 점검하거나 공격을 예방하는 조치를 하지 않았다. 국내외 다수 IP주소를 이용한 해킹 공격이 이어졌는데도 IP주소 제한 조치도 하지 않았다. 해킹 탐지를 위한 모니터링 조직이나 인력도 없었다.

하나투어는 2017년 9월 외주 관리업체 직원의 노트북에 저장돼 있던 관리자용 계정을 해킹당했다. 해커는 관리자 계정으로 보안망 컴퓨터와 데이터베이스(DB)에 침입해 여행예약내역, e메일, 전화번호, 주소, 여권번호 등 개인정보 46만여건과 임직원 개인정보 3만여건을 유출했다. 본부장 김모씨(47)는 일회용비밀번호(OTP), 공인인증서, 보안토큰 등 안전한 추가 인증수단을 만들지 않았다. 또 관리자권한 계정을 암호화하지 않은 채 외주업체 직원의 개인 노트북에 메모장 파일 형태로 저장해놨다.

방송통신위원회는 2017년 9월 여기어때에 과징금 3억100만원과 과태료 2500만원을, 같은 해 12월에는 빗썸에 과징금 4350만원과 과태료 1500만원을 부과했다. 행정안전부는 지난해 2월 하나투어에 과징금 3억2725만원, 과태료 1800만원을 처분했다.

검찰 관계자는 “내밀한 사적 영역이나 경제적 가치가 있는 개인정보가 대규모로 유출돼 추가 피해가 발생한 점을 고려해 업체 모두 정식재판에 회부했다”며 “개인정보 유출 범죄는 물론 보호조치의무를 위반한 범죄에 대해서도 엄정하게 처분하겠다”고 말했다.

허진무 기자 imagine@kyunghyang.com

▶ 최신 뉴스 ▶ 두고 두고 읽는 뉴스 ▶ 인기 무료만화

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지