안녕하세요.
글로벌 암호화폐 거래소 빗썸입니다.
먼저, 2년 전 2017년 4월에 있었던 약 3만명의 개인정보[이름, 이메일, 전화번호](ID/PW 유출 없음) 유출 사고에 대해 다시 한 번 고개 숙여 사과 말씀 드립니다.
당시 사고와 관련하여 금일 검찰 측에서 수사결과를 발표하였습니다.
이 중 사실관계가 다르거나 오해의 소지가 발생할 수 있는 주요 부분에 대하여 바로잡고, 명확한 사실을 회원님들께 전달 드리고자 합니다. 말씀드리는 내용은 이미 과거 빗썸의 공지나 실제 사고 처리를 위해 회원님들과 약속하고 이행했던 사항들로 사실에 근거합니다.
○ 빗썸은 사고 이후 피해예방을 위한 조치 노력을 다하였습니다.
- 빗썸은 사고 인지 즉시 KISA, 국정원, 수사기관에 신고 후 관련 진행상황과 후속조치에 관해 회원들에게 수차례 공지
- 3만여명의 계정에 즉시 접근금지조치 및 보상조치 실행
- 추가 피해 방지와 신속한 응대를 위해 개인정보대책센터를 별도 조직, 운영
- 대규모 정부합동조사팀으로부터 시스템 전반에 대한 감수 및 여타 해킹이 있었는지에 대한 강도 높은 조사 진행
- 조사 결과 3만여명 개인정보 유출 외 어떠한 외부침입흔적 발견되지 않음
- 방송통신위원회로부터 행정처분 및 시정사항에 대한 이행실태 점검 완료
○ 개인정보유출 사고와 사전대입공격으로 인한 암호화폐 탈취 피해 사건은 별개의 사건입니다.
1) 검찰 발표에 따르면 개인정보 유출 사건과 243명이 보유 암호화폐 70억원을 탈취당한 것을 혼용하여 발표한 바, 이는 별개의 무관한 사건입니다.
- 검찰이 발표한 암호화폐 탈취 피해자 243명과 개인정보 유출 피해자 3만 1천명은 직접 연관성, 교차점이 없는 별개의 피해 사건입니다.
- 암호화폐 탈취피해가 발생한 원인인 사전대입공격은 해커가 사용자가 가입한 여러 경로의 사이트나 접근 경로를 통해 아이디와 비밀번호를 파악하거나 유추한 사전(Dictionary)을 이용하여 무작위로 로그인을 시도하는 방식으로 빗썸 외 사이트에서도 흔하게 발생하는 공격방법입니다.
- 당시 빗썸에 발생한 사전대입공격의 경우 익명의 해커가 사용자계정 탈취 공격을 장기간에 걸쳐 수십만 번 시도하였습니다. 로그인을 시도하여 성공하더라도 출금을 위해서는 추가적인 인증절차가 필요한 바, 해커는 피해자들에게 보이스피싱 등의 방법으로 인증 문자를 탈취하는 방법을 이용하였습니다.
- 빗썸은 위와 같은 피싱 등 사고도 예방할 수 있는 시스템을 적극적이고, 지속적으로 업그레이드 해왔습니다.
2) 만약, 개인정보 유출로 인한 추가적인 피해의 경우 회원들에게는 피해금액을 추가 보상하겠다고 이미 약속한 바 있으며, 이는 여전히 유효합니다.
위의 사항들은 과거 빗썸의 공지들을 통해서, 또 여러 조사기관과 대외 발표에 의해 확인되는 사항들입니다. 그럼에도 불구하고 일부 오해의 소지가 있는 부분에 대해서는 향후 진행과정에서 성실히 소명하고, 회원님들에게 정확하게 알릴 수 있도록 하겠습니다.
마지막으로, 이 모든 심려를 끼쳐드린 데 대해 진심으로 사과의 말씀드리며,
회원님들께 더 안전하고, 편리한 서비스로 보답할 수 있도록 최선을 다하겠습니다.
감사합니다.