가상화폐 거래소 8곳에 과태료 부과…‘개인정보보호조치 미흡’ 위반사항은

개인정보보호 조치를 소홀히 한 가상화폐 거래소 8곳에 총 1억4100만원의 과태료가 부과됐다. 업체별로 부과된 과태료 최고 금액은 2500만원이다.

방송통신위원회는 24일 제5차 전체회의를 열고 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’을 위반한 가상통화(가상화폐) 거래사이트 사업자 8곳에 이같은 과태료 처분을 내렸다. 이와 함께 위반행위 즉시중지, 재발방지 대책 수립 보고 등 시정명령을 의결했다.

해당 업체는 두나무(업비트)·리플포유·씰렛(코인피아)·이야랩스(이야비트)·야피안(유빗)·코빗·코인원·코인플러그(CPDAX)로 업체별로 1000만원에서 2500만원의 과징금을 받았다.

최근 가상통화 거래소 해킹, 개인정보 유출 등 사이버 침해사고가 연이어 발생함에 따라 방통위는 과학기술정보통신부, 한국인터넷진흥원(KISA)과 함께 지난해 10월10일부터 12월28일까지 가상화폐 거래사이트를 운영하는 10개 사업자를 대상으로 현장점검을 실시했다.

그 결과, 조사기간 중 관련 서비스제공을 중단한 2개사를 제외한 8개사 모두 정보통신망법을 위반하고 있는 것으로 나타났다. 관련분야 거래규모 및 이용자수가 급증하고 있는데 반해 접근통제장치 설치·운영, 개인정보취급자의 비밀번호 작성규칙 수립 등 정보통신서비스제공자로서 기본이 되는 보호조치조차 준수하지 않는 등 이용자보호 조치가 전반적으로 매우 미흡한 상황이다.

가장 많은 과태료 처분을 받은 사업자는 야피안과 코인원이다.

세부적인 위반 사항을 보면, 업비트 운영사인 두나무는 개인정보처리시스템 침입차단·탐지 시스템을 설치·운영하지 않고 있었던데다 개인정보 수집보다 동의철회 방법을 어렵게 해 정보통신망법을 위반했다는 점에서 각각 1000만원씩, 총 2000만원의 과태료가 부과됐다.

리플포유는 개인정보처리시스템 접속을 위한 안전한 인증수단이 미흡했고 접속기록도 6개월 이상 보관하지 않았다. 이용자 계좌번호를 암호화 저장하지 않았고, 개인정보 출력시 용도를 특정하거나 출력항목을 최소화하지 않았다. 이로 인한 과태료는 총 1500만원이다.

이전에 EXRP 거래소를 운영했던 리플포유는 지난 2016년 7월26일 해킹으로 리플 3137만3410개를 분실한 데 이어 작년 4월에도 170만개를 분실한 뒤 사명을 변경하고 사이트를 폐쇄했다. 현재 사이트는 리뉴얼 공지를 통해 거래가 중단된 상태다.

코인피아를 운영하는 씰렛은 외부에서 취급자가 개인정보처리시스템 접속시 안정한 인증수단을 적용하지 않은 것으로 나타났다. 개인정보처리시스템 침입 탐지시스템도 설치·운영하지 않고, 비밀번호 작성규칙도 부재했다. 이용자 계좌번호도 암호화해 저장하지 않아 총 1500만원의 과태료를 내야 한다.

이야랩스 역시 취급자가 외부에서 개인정보처리시스템 접속시 안전한 인증수단을 적용하지 않아 개인정보 접근통제 미흡으로 인해 1000만원의 과태료가 부과됐다.

유빗으로 알려진 야피안은 지난해 4월 해킹으로 비트코인 3831개를 분실해 사이트를 폐쇄했다. 지난해 12월 현 사이트 해킹으로 출금지갑 17% 분실 후 거래를 중단한 상태다.

야피안은 ▲개발자·퇴직자의 접근권한 미말소 ▲접근권한 최소부여 원칙 위반 ▲접근권한 부여·변경·말소내역 미보관 ▲개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영 ▲비밀번호 작성규칙 미수립·미운영 ▲최대 접속시간 제한조치 미흡 ▲이용자 계좌번호 미암호화 저장 ▲개인정보 출력시 용도 특정·출력항목 최소화 미비 등 보호조치 소홀로 1500만원의 과태료가 부과됐다.

아울러 1년간 서비스를 이용하지 않은 이용자의 개인정보를 파기하거나 다른 이용자의 정보와 분리해 별도로 저장·관리하지 않아 1000만원 과태료도 내야 한다.

코빗은 ▲개인정보처리시스템 침입차단·탐지시스템 미설치·미운영 ▲비밀번호 작성규칙 미수립·미운영 ▲이용자 계좌번호 미암호화 저장으로 1500만원 과태료과 부과된 것에 더해 개인정보 국외(미국) 이전 때 이용자에게 고지하지 않아 600만원의 과태료가 더해져 총 2100만원의 처분을 받았다.

코인원은 ▲접근권한 변경 및 말소내역 미보관 ▲비밀번호 작성규칙 미수립·미운영 ▲최대 접속시간 제한 미조치 ▲이용자의 계좌번호 미암호화 저장 ▲개인정보 출력시 용도 특정·출력항목 최소화 미비로 1500만원 과태료를, 1년간 서비스를 이용하지 않은 이용자의 개인정보를 파기하거나 다른 이용자의 정보와 분리해 별도로 저장·관리하지 않아 1000만원 과태료를 내야 한다. 총 과태료는 2500만원이다.

CPDAX 운영사인 코인플러그는 개인정보처리시스템 침입차단·탐지시스템 미설치·미운영으로 과태료 1000만원이 부과됐다.

방통위는 이들 사업자에게 위반행위의 즉시 중지, 개인정보보호책임자 및 취급자 대상 정기적 교육 실시, 재발방지대책 수립 등 시정명령하기로 의결했다. 위반 사업자들은 30일 이내 시정명령을 이행하고 그 결과를 방통위에 제출해야 한다.

방통위는 현행 정보통신망법상 보안조치 기준이 명확하지 않은 가상통화 전자지갑 및 암호키의 관리, 가상통화 거래의 송신 등과 관련해 사업자들이 안전한 관리방안을 포함한 내부관리계획을 수립·시행하도록 행정지도 할 계획이다.

이효성 방통위원장은 “가상통화 투기와 취급사이트에 대한 해킹 등 보안위협이 증가하고 있는 가운데 주요한 가상통화 거래소의 개인정보 보호실태가 매우 취약한 것으로 드러났으므로, 이용자 피해가 없도록 가상통화 관련 서비스 이용시 보다 각별한 주의를 기울여 줄 것을 당부한다”고 강조했다. 이어 “방통위도 향후 개인정보를 유출하거나 정보통신망법을 위반한 가상통화 관련 사업자가 확인될 경우, 보다 엄정한 제재를 통해 이용자 피해를 줄일 수 있도록 노력하겠다”고 밝혔다.

한편, 이날 방통위 전체회의에서는 가상화폐 거래소들의 크게 미흡한 보안수준에 대한 질책과 더불어 낮은 수위의 제재에 대한 실효성 우려가 나오기도 했다.

김석진 상임위원은 “상상할 수 없을 정도로 천문학적 매출을 내고 있는데, 8개 업체 모두 개인정보보호조치를 위반하고 있다”며 “조사하지 않은 나머지 거래소도 이보다 더하면 더했지 적지는 않을 것인데, 과태료밖에 부과하지 못하는 상황이 납득이 가지 않는다”고 말했다.

아울러 김 상임위원은 “과태료 처분만으로 시장에 경각심을 줄 수 있을지, 실효성 측면에서 우려스럽다”며 “미비점을 조속히 정비해 연초부터 제대로 규제할 수 있도록 살펴봐야 한다”고 지적했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network