가상화폐 광풍 속에서 기본적인 보호조치에 소홀했다는 사실이 드러났지만, 빗썸이 받은 제재는 비트코인으로 환산하면 약 3비트코인에 그친다. 이는 13일 오전 1비트코인 가격이 1800만~1900만원대임을 고려한 금액이다.

방통위가 빗썸을 운영하는 비티씨코리아닷컴에 내린 행정처분은 과징금 4350만원, 과태료 1500만원이다. 책임자 징계권고, 재발방지대책 수립 시정명령 등도 포함돼 있다. 개인정보가 유출되고 금전적 피해까지 발생한 점을 미뤄봤을 때 5850만원의 행정처분 결과에 대해서는 솜방망이 처벌이라는 지적이 제기된다.

방통위 스스로도 이를 인지하고 있다. 지난 12일 열린 전체회의에 때 방통위 상임위원들은 빗썸을 대상으로 한 제재안을 두고 솜방망이 처벌을 우려했다. 가상화폐 거래소를 대상으로 한 첫 제재 사례인 만큼 내부에서도 걱정이 많았던 셈이다.

이날 김석진 방통위 상임위원은 “이렇게 취약하고 해커에 마구 뚫리는데, 솜방망이 처벌이 되면 안 되지 않나”며 “지난해 빗썸 매출액은 43억원으로 기하급수적으로 늘어나고 있는 가운데 온 국민이 가상화폐에 혈안이 돼 있는데, 가상화폐 거래소 첫 제재를 이렇게밖에 할 수 없는지 걱정된다”고 말했다.

하지만, 현행 정보통신망법에 따라 과징금이 산출되는 만큼 방통위 입장에서도 어쩔 도리가 없다. 현행법에 따르면 과징금 기준은 최근 3년 평균 매출액의 3% 이하, 또는 산정이 불가할 경우 정액과징금 4억원(개인정보보호법의 경우 5억원)이다. 2014년부터 2016년까지 빗썸의 3년간의 평균매출액은 20억7200만원이다.

342만건의 고객정보를 유출한 숙박앱 여기어때도 직전연도 매출액으로 과징금을 정하면서 과징금이 3억원으로 대폭 줄어 논란이 된 바 있다.

이에 방통위는 매출은 작지만 이용자 파급력이 최근 급격히 증가한 스타트업들을 대상으로 개인정보 유출 관련 제재를 내릴 때 미미한 처벌을 내릴 수밖에 없다는 지적을 받아들여 4기 방통위 정책과제로 과징금 금액 상향을 선언했다.

관련 매출액과 정액과징금 중 더 높은 금액으로 부과하겠다는 것인데, 이는 유럽(EU) 일반 개인정보보호법(GDPR)에서의 과징금 방식과 같다. GDPR에서는 연간 매출액의 4% 또는 2000만유로 중 높은 금액으로 부과키로 했다.

방통위는 전체매출액 3% 또는 정액과징금 4억원(개인정보보호법 5억원) 중에서 높은 금액으로 과징금을 산정하는 방안을 추진 중이다. 그러나 당장 이러한 제도가 적용되는 것은 아니다. 내년에 의견수렴을 거쳐 법안 마련에 나서면, 실제 법개정 및 시행은 2019년에 이뤄질 가능성이 크다.

이번에 빗썸이 위반한 개인정보보호 조치는 기본적인 보안사항들이었다. 빗썸은 침입차단시스템 및 침입탐지시스템을 설치·운영하고 있었으나 시스템에 접속한 IP주소 재분석을 실시하지 않았다. 지난 4월26일부터 7월5일까지 해킹신고 등이 92건 접수됐지만 사전대입 공격으로 추정되는 200만번의 시도에 대해 탐지하지 못했다.

또, 직원의 개인용 PC에 이용자 개인정보 3만5105건을 암호화하지 않고 저장했으며 업무를 처리하는 개인용 PC에 설치된 한글 프로그램 등에 대해 백신 소프트웨어를 업데이트하지 않았다. 해당 악성코드가 담긴 한글워드 취약점은 지난해 8월 패치됐는데, 1년 이상 업데이트하지 않은 셈이다.

빗썸은 개인정보유출에 대한 첫 제재사례로 기록됐지만, 아이러니하게도 법 울타리 내에서 막대한 과징금 철퇴는 피할 수 있게 된 셈이다.

김재영 방통위 이용자정책국장은 “과징금은 부과기준은 3년 매출을 평균해 산정하게 돼있는데, 빗썸은 딱 3년차 회사”라며 “현재는 가장 과중한 과징금 부과했는데, 산정된 과징금 또는 정액과징금 중 높은 금액을 부과하는 형태의 법개정을 검토해보겠다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr