[디지털데일리 최민지기자] 24일 방송통신위원회(이하 방통위)는 개인정보 보호조치를 미흡하게 운영한 가상통화(가상화폐) 거래사이트 관련 8개 사업자에게 1억4100만원 과태료를 처분했다.

이날 방통위는 제5차 전체회의를 열고 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’을 위반한 8개 사업자에 대해 과태료 총 1억4100만원과 시정명령을 의결했다.

최근 가상통화 거래소 해킹, 개인정보 유출 등 사이버 침해사고가 연이어 발생함에 따라 방통위는 사고예방 및 이용자보호조치 강화를 위해 가상통화 거래사이트를 운영하는 10개 사업자에 대해 지난해 10월10일부터 12월28일까지 과학기술정보통신부 및 한국인터넷진흥원(KISA)와 함께 현장조사를 실시했다.

10개사 중 조사기간 중 관련 서비스제공을 중단한 2개사를 제외한 8개사 모두가 정보통신망법을 위반했다.

조사 결과 관련 분야 거래규모 및 이용자수가 급증하고 있는데 반해 접근통제장치 설치·운영, 개인정보취급자의 비밀번호 작성규칙 수립 등 정보통신서비스제공자로서 기본이 되는 보호조치조차 준수하지 않는 등 이용자보호 조치가 전반적으로 매우 미흡했다. 상황은 이러하지만 방통위는 과태료 처분에 그쳐, 시장에 경각심을 주지 못할 수준으로 제재안을 집행했다는 우려도 나온다.

◆8개 가상통화 거래소, 위반사항 살펴보니…=세부적으로 살펴보면, 거래소 업비트 운영사 두나무는 개인정보처리시스템 침입차단 및 탐지 시스템을 설치·운영하지 않았다. 개인정보 수집보다 동의철회 방법을 어렵게 한 점도 드러났다. 이에 각각 1000만원씩, 총 2000만원 과태료를 부과했다.

과거 EXRP 거래소를 운영한 리플포유는 지난 2016년 7월26일 해킹으로 리플 3137만3410개를 분실하고, 지난해 4월 또다시 170만개를 분실해 사명을 변경하고 사이트를 폐쇄했다. 현재 사이트는 리뉴얼 공지를 통해 거래 중단 상태다.

리플포유는 개인정보처리시스템 접속기록을 6개월 이상 보관하지 않았고, 이용자 계좌번호를 암호화하지 않았다. 개인정보 출력 때 용도를 특정하고 출력항목도 최소화하지 않았다. 과태료는 총 1500만원이다.

코인피아를 운영하는 씰렛은 취급자가 외부에서 개인정보처리시스템 접속 때 안정한 인증수단을 적용하지 않았다. 개인정보처리시스템 침입 탐지시스템도 설치·운영하지 않았다. 비밀번호 작성규칙도 수립하지 않았다. 이용자 계좌번호도 미암호화 저장해 총 1500만원의 과태료를 부과했다.

유빗으로 알려진 야피안은 지난해 4월 해킹으로 비트코인 3831개를 분실해 사이트를 폐쇄했다. 현재 출금지갑 17% 분실 후 거래는 중단됐다.

야피안은 ▲개발자·퇴직자의 접근권한 미말소 ▲접근권한 최소부여 원칙 위반 ▲접근권한 부여·변경·말소내역 미보관 ▲개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영 ▲비밀번호 작성규칙 미수립·미운영 ▲최대 접속시간 제한조치 미흡 ▲이용자 계좌번호 미암호화 저장 ▲개인정보 출력 때 용도를 특정하고, 출력항목을 최소화하지 않은 것으로 확인돼 1500만원 과태료를 부과했다.

또, 1년간 서비스를 미이용한 이용자의 개인정보를 파기하거나 다른 이용자의 정보와 분리해 별도로 저장·관리하지 않아 1000만원 과태료를 내야 한다. 과태료는 총 2500만원이다.

코빗은 ▲개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영 ▲비밀번호 작성규칙 미수립·미운영 ▲이용자 계좌번호 미암호화 저장으로 1500만원 과태료, 개인정보 국외(미국) 이전 때 이용자 미고지로 600만원, 총 2100만원 과태료를 납부해야 한다.

코인원은 ▲접근권한 변경 및 말소내역 미보관 ▲비밀번호 작성규칙 미수립·미운영 ▲최대 접속시간 제한 미조치 ▲이용자의 계좌번호 미암호화 저장 ▲개인정보 출력시 용도를 특정하고 출력항목을 최소화하지 않아 1500만원 과태료를, 1년간 서비스를 미이용한 이용자의 개인정보를 파기하거나 다른 이용자의 정보와 분리해 별도로 저장·관리하지 않아 1000만원 과태료를 내야 한다. 총 과태료는 2500만원이다.

이야랩스도 취급자가 외부에서 개인정보처리시스템 접속 때 안정한 인증수단을 도입하지 않았고, CPDAX 운영사 코인플러그는 개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영으로 각각 과태료 1000만원으로 결정됐다.

방통위는 이들 사업자에게 위반행위의 즉시 중지, 개인정보보호책임자 및 취급자 대상 정기적 교육 실시, 재발방지대책 수립 등 시정명령을 내렸다. 위반 사업자들은 30일 이내 시정명령을 이행하고 그 결과를 방통위에 제출해야 한다.

◆“과징금 아닌 과태료 제재에 실효성 우려”=이날 방통위 전체회의에서는 가상통화 거래소의 미흡한 보안 현황을 질책하면서, 동시에 낮은 수준의 제재안에 실효성을 우려하는 목소리가 나왔다. 가상통화에 대한 사회적 쟁점과 이용자수 등을 고려했을 때 8개사에 대한 과태료는 솜방망이 처벌이었다는 지적이다.

이날 김석진 상임위원은 “상상할 수 없을 정도로 천문학적 매출을 내고 있는데, 8개 업체 모두 개인정보보호조치를 위반하고 있다”며 “조사하지 않은 나머지 거래소도 이보다 더하면 더했지 적지는 않을 것인데, 과태료밖에 부과하지 못하는 상황이 납득이 가지 않는다”고 말했다.

이어 “과태료 처분만으로 시장에 경각심을 줄 수 있을지, 실효성 측면에서 우려스럽다”며 “미비점을 조속히 정비해 연초부터 제대로 규제할 수 있도록 살펴봐야 한다”고 강조했다.

일례로, 이번에 제재를 받은 두나무의 경우 지난해 매출 15억원에 당기순손실 21억원을 기록했지만 업비트 출시 후 기하급수적으로 매출 상승을 기록하고 있다. 유진투자증권에 따르면 일평균 수수료 매출만 178억원에 육박한다는 주장이다.

과징금을 부과하려면 개인정보 유출사고가 발생하고 기술적 보호조치에 대한 문제점이 나타나야 한다. 방통위는 사고를 예방하는 차원에서 미리 기획한 조사를 진행한 후 시정조치를 내렸기 때문에 과징금에 해당하지 않고 과태료 부과로 대체할 수밖에 없었다는 설명이다.

표철수 상임위원은 “강력한 경고를 주고 예방조치를 할 필요가 있다”며 “정기적이고 지속적인 점검과 함께 신규 사업자에 대해서도 위원회 차원에서 현장점검을 검토해야 한다”고 역설했다.

고삼석 상임위원은 “보안전문가가 창업한 코인원마저 개인정보보호를 소홀히 했다”며 “정부는 새로운 사업모델로 혁신하는 스타트업을 장려해야 하지만, 서비스 출시와 마케팅에만 집중하고 있다”고 꼬집었다.

또 “가상통화 해킹은 국민 재산과 직접적으로 연결되며, 개인정보 유출과 2차 피해를 막기 위한 보호조치가 필요하다”며 “젊은 세대들을 포함한 수많은 이용자들이 거래소의 신뢰성을 검토하지 않고 투자하기 때문에, 관리 감독의 권한이 있는 위원회에서 철저하게 조사해야 한다”고 말을 보탰다.

아울러 방통위는 현행 정보통신망법 상 보안조치 기준이 명확하지 않은 가상통화 전자지갑 및 암호키의 관리, 가상통화 거래의 송신 등과 관련해 사업자들이 안전한 관리방안을 포함한 내부관리계획을 수립·시행하도록 행정지도할 계획이다.

이효성 방통위원장은 “가상통화 투기와 취급사이트에 대한 해킹 등 보안위협이 증가하고 있는 가운데 주요한 가상통화 거래소의 개인정보 보호실태가 매우 취약한 것으로 드러났기 때문에 이용자 피해가 없도록 가상통화 관련 서비스 이용 때 보다 각별한 주의를 기울여야 한다”며 “방통위도 향후 개인정보를 유출하거나 정보통신망법을 위반한 가상통화 관련 사업자가 확인될 경우, 보다 엄정한 제재를 통해 이용자 피해를 줄일 수 있도록 노력하겠다”고 제언했다.

<최민지 기자>cmj@ddaily.co.kr