[뉴스토마토 박효선 기자] 투자자의 개인정보를 대량 유출하고 투자자 가상화폐 70억원어치를 해커에게 빼앗긴 혐의로 재판에 넘겨진 가상화폐 거래소 빗썸이 당시 미흡했던 보안 조치를 두고 재판부로부터 지적을 받았다.
서울동부지법 형사항소1-3부(부장판사 한정훈 명재권 김동현)는 25일 정보통신망법 위반 혐의로 기소된 빗썸 법인과 이정훈 의장의 항소심 3차 공판을 열었다.
이날 빗썸 측 변호인단은 원심 판단에 대해 '사실오인'을 주장하며 PPT 발표를 진행했다. 앞서 1심은 지난해 2월 이 의장과 빗썸에 각각 벌금 3000만원을 선고했다.
빗썸 측 변호인은 “공소사실에 적시된 ‘사전대입공격’은 잘못된 표현”이라며 “당시(2017년) 해커는 이미 다른 웹사이트에서 (빗썸 고객) 아이디와 비밀번호 등을 이미 확보한 상태였고, ‘크리덴셜 스터핑’ 방식의 해킹을 한 것”이라고 주장했다.
크리덴셜 스터핑은 해커가 여러 가지 경로를 통해 수집한 사용자의 로그인 인증 정보를 다른 사이트 계정 정보에 대입하는 방식이다.
검찰이 제시한 사전 대입 공격이란 해커가 아이디와 암호를 설정할 때 생년월일이나 전화번호처럼 익숙한 숫자나 문자를 선호하는 경향을 이용한 해킹 기법이다. 이렇게 새나간 정보로 빗썸의 200여개 계정에서 가상화폐 70억원이 털렸다는 게 검찰의 공소사실 내용이다.
빗썸 측은 “공소장과 1심 판결과 달리 당시(2017년) 빗썸은 보안 시스템을 정상적으로 운영했다”며 “이 사건의 경우 방어벽이나 IPS(방지시스템)를 통해 막을 수 있는 종류의 해킹이 아니었다”고 강조했다.
검찰은 “당시 빗썸에선 ‘캡차’ 시스템조차 제대로 작동하지 않았다”며 “다수 피해자들이 해킹 당했다는 신고를 반복적으로 해왔음에도 빗썸은 별다른 조치를 취하지 않았고, 이로 인해 사고가 발생한 것이므로 피고인의 혐의는 충분히 인정된다”고 반박했다. ‘캡차'는 '로봇이 아님'을 확인해 불법 봇을 차단하기 위한 일종의 보안 프로그램이다.
재판부는 빗썸 측에 “은행이나 증권사 등의 경우 아이디나 비밀번호 등을 5회 이상 틀리게 기재하면 직접 신분 확인 후 접속차단을 해제하는 방식의 조치를 취하는데, 이 같은 금융기관의 보안정책을 검토한 바 있느냐”고 물었다.
빗썸 측은 “은행 등의 경우 금융기관 보안 관련 규정을 따라야 하지만, 빗썸은 금융기관에 해당되지 않는다”면서 “‘캡차’ 입력을 요구하는 구글과 같은 보안정책이 당시엔 통상적이고 적절한 조치라고 봤고, 결과론적으로 그때 보안을 더 강화했다면 이용자 정보를 보호할 수 있었겠지만, 그만큼 서비스가 저하될 수도 있었을 것”이라고 답했다.
이 같은 빗썸 측 답변에 재판부는 “빗썸의 경우 거래규모가 굉장히 큰데, 금융기관에 준하는 보안정책을 검토해볼 수 있지 않았느냐”며 “(로그인) 접속 시도 시간차만 봐도 2초, 3초, 4초 간격으로 상당히 짧고 이 정도면 사람이 한 게 아닐 가능성이 높은데 이를 의심하지 못했다는 게 이해가 되지 않는다”고 질타했다.
서울 강남구 빗썸 고객상담센터. 사진/뉴시스
박효선 기자 twinseven@etomato.com