국내 최대 비트코인 거래소 '빗썸'이 사이버 공격으로 3만명 넘는 고객의 정보를 도난당하는 사건이 발생했다. 일부 이용자가 빠져나간 개인정보로 인해 가상화폐가 유출되는 2차 피해를 당했다고 주장하고 있는 가운데 빗썸 측은 "일부 고객정보가 유출된 것은 사실이나 보관 중인 비트코인에는 아무런 문제가 없다"고 반박하면서 논란이 커지고 있다. 

3일 빗썸에 따르면, 지난 29일 오후 10시 전후로 빗썸 직원의 개인 PC에 대한 외부 침해로 빗썸 전체회원의 약 3%인 3만명의 일부 개인정보가 유출된 것으로 추정된다. 회사 측에 따르면 유출된 정보는 휴대전화번호와 이메일주소다.  

빗썸 측은 “고객의 계정 비밀번호와 계좌번호 등의 정보는 모두 암호화돼 빗썸 내부 보안망 서버에만 저장되므로 원천적으로 유출이 불가능하다”면서 “고객의 원화 및 가상화폐 예치금은 안전하게 보관돼 있으며 모든 서비스 이용에 문제가 없다”고 설명했다. 

이처럼 빗썸 측은 이번 해킹이 내부망과 무관하고 원화와 가상화폐 예치금은 안전하게 보관 중이라고 해명했으나 일부 피해자들은 "실제 비트코인이 빠져나갔다"고 주장해 논란이 확산되고 있다.

개인정보 유출 피해를 당한 빗썸 회원 100여 명은 지난 1일 경찰청 사이버범죄 신고센터로 신고를 접수시킨 데 이어 '빗썸 해킹 피해자 모임 카페'를 개설하고 단체소송도 준비하고 있는 것으로 알려졌다. 카페 관계자는 "이번 해킹의 2차 피해로 한 명당 수백만 원에서 많게는 수억 원에 이르는 현금 유출이 발생했다"고 주장했다. 

피해자 모임 카페에 따르면 현재 가장 많은 유출 피해 사례는 보이스피싱이다. 빗썸 직원을 사칭한 보이스피싱 사기단이 피해자에게 전화를 걸어 "빗썸 온라인 계좌가 해외에서 해킹을 시도하고 있다"며 "일회용 패스워드(OTP) 번호를 바꿔야 하므로 현재 비밀번호를 말해달라"는 방식으로 추가 정보를 탈취해 돈을 인출했다는 것이다. 일부 피해자들은 "해커들이 도용한 개인정보를 활용해 빗썸 OTP를 재발급받아 현금을 인출했다"고 주장했다. 

이에 대해 빗썸 측은 "프로모션을 진행하려고 작성한 문서 속 개인정보가 해킹됐다"며 "이번 유출사고로 피해를 입은 회원에 대한 상세 보상안을 논의 중이며 이른 시일 안에 개별적으로 보상을 지급할 예정"이라고 말했다. 

경찰청은 해당 사건을 서울지방경찰청 사이버범죄수사대에 배당했고 즉시 수사에 착수했다. 경찰 관계자는 "'계정에서 돈이 사라졌다'는 신고 내용을 접수했고 사실관계 확인을 위해 조만간 신고접수자 등을 상대로 참고인 조사를 실시할 예정"이라고 밝혔다. 아직까지 수사 초기 단계여서 구체적인 피해상황이나 용의자 등이 파악되지는 않았다고 설명했다. 한국인터넷진흥원(KISA)도 "빗썸으로부터 신고를 받고 현재 조사관들을 파견했다"고 밝혔다.

KISA 관계자는 "개인정보 문제는 조사에 시간이 걸려 쉽게 예단할 수 없다"며 "알려진 것보다 피해 규모가 더욱 클 수 있다"고 말했다. 

이번 해킹사건에서 실제 피해가 입증되더라도 법적인 책임을 물을 수 있을지는 미지수다. 현재 전자금융거래법상에 가상화폐 등 비트코인은 공식적인 지급수단으로 인정받지 못하고 있기 때문이다. 가상화폐 업계 관계자는 "가상화폐는 전자화폐인지, 선불지급결제수단인지 아직 존재조차 법으로 명확히 규제되지 않고 있다"면서 "투자자 보호를 위해선 관련 법 제정이 시급하다"고 말했다.