빗썸, 가짜 신분증에 속아 고객 OTP 해지 변명...알고 보니 거짓말?

빗썸 계정에서 인출할 방법은 OTP와 휴대폰 인증...범인들 OTP 해지에 주력
피해자, 빗썸이 가짜 신분증으로 OTP 해지된 고객에게 정보제공 거부했다고 주장
페스트빈에 빗썸 고객정보로 보이는 자료 올라와...비밀번호에 은행계좌까지 있어

[보안뉴스 원병철 기자] 국내 대표 가상화폐 거래소 빗썸이 그동안 고객계정 해킹사건의 공격수법의 하나로 꼽았던 가짜 신분증 제출로 인한 OTP 해지가 의심된다는 주장이 제기됐다. 14일 오전 빗썸 비상임 이사의 PC가 해킹됐다는 내용이 보도됐고, 파일공유 사이트 페스트빈에 고객정보가 공개된 지금, 또 하나의 악재인 셈이다.

[이미지=iclickart]

보안뉴스는 빗썸 고객계정 해킹사건으로 소송을 준비 중인 ‘빗썸 해킹 피해자모임’을 주도하고 있는 한 피해자 A 씨와 전화 인터뷰를 진행했다. A 씨는 이번 해킹사건으로 약 1억 원의 손해를 입었으며, 빗썸의 무성의한 대응에 화가나 소송을 준비 중이라고 밝혔다.

본지에서도 보도한 것처럼, 이번 빗썸을 공격한 범인들은 고객이 돈을 찾거나 송금할 때 OTP나 핸드폰 문자인증 두 가지 방법 중 1개를 미리 선택해 사용한다는 것을 알고, OTP를 사용 중인 고객에게 보이스피싱 수법으로 OTP 번호를 알아내 해지하거나, 가짜 신분증을 제출해 본인임을 확인시킨 후 OTP를 해지하는 방법을 사용했다.

A 씨 역시 범인들이 가짜 신분증을 빗썸에 제시하는 방법으로 OTP를 해지당하고, 돈을 빼가는 방법으로 당했다고 말했다. 그런데 직접 빗썸을 방문해 빗썸이 받았다는 가짜 신분증을 달라고 요구하자, 처음에는 주겠다며 서류를 찾는가 싶더니, 어디 있는지 모르겠다며 찾아서 주겠다고 A 씨를 돌려보냈다고 밝혔다. 그리고 그다음부터는 못찾겠다면서 말을 돌렸고, 얼마 전부터는 아예 연락도 안된다고 A 씨는 말했다.

본지에서 단독 인터뷰했던 또 다른 피해자 권OO 씨 역시 이상한 생각이 들어 빗썸에 자기를 도용한 가짜 신분증을 요구했더니 ‘개인정보’이기에 경찰에게만 제공할 수 있다면서 거절했다고 설명했다. 게다가 일주일 전 빗썸과 통화하면서 가짜 신분증은 잘 갖고 있냐고 물었더니, 개인정보법 때문에 파기했다는 대답을 했다고 황당하다는 반응을 보였다.

A 씨는 이번 OTP 사건뿐만 아니라, 공지사항이 계속 바뀐다며 진의를 의심했다. 본지에서도 보도했던 것처럼 빗썸이 접속장애 관련 공지를 처음 할 때는 ‘디도스 공격으로 인해’라는 글이 얼마 후 사라졌으며, 해킹된 직원 PC도 처음에는 회사 PC에서 집 PC로 바뀌었다고 말했다. 게다가 14일 한 매체에서는 직원이 아닌 비상임 이사의 PC가 해킹됐다고 보도한 바 있다.

게다가 고객정보 유출 피해고객에게 10만 원의 피해보상을 약속하고, 출금 피해자에게 ‘충분히’ 보상하겠다고 공지할 뿐 실제 피해자들에게는 법대로 하라며 대응하지 않고 있다고 억울해했다.

이와 관련, 빗썸 측은 해당 내용은 수사 중인 내용이므로 의견을 전달할 수 없다는 입장을 전달했다.

▲ 페스트빈 사이트에 올라온 빗썸 고객정보[이미지=페스트빈 캡처]

한편, 어나니머스 관련 해커로 알려진 미니언 고스트(Minion Ghost)가 한국 홈페이지를 해킹하고 유출한 DB를 공개한 것으로 유명세를 탄 텍스트 파일공유 사이트 페스트빈(Fastebin)에 빗썸 고객정보가 올라왔다. 특히 해당 자료에는 고객 ID와 이메일, 휴대폰 번호는 물론, 비밀번호와 가상계좌, 은행 계좌까지 전부 포함된 것으로 보여, 고객 이메일과 전화번호만 탈취당했다던 빗썸의 발표를 무색게 했다. 다만 가장 중요한 정보인 비밀번호와 계좌정보는 가려져 있어, 실제 정보가 있는 지는 확인이 되지 않았다.현재 해당 자료는 페스트빈 측에 의해 지워진 상태다.