‘바이낸스 개인 정보’ 유출 진실 공방전
‘바이낸스 개인 정보’ 유출 진실 공방전
  • 김송이
  • 승인 2019.08.10 10:52
  • 댓글 0
이 기사를 공유합니다

바이낸스 ‘자체 데이터와 불일치, 증거 없어’
한국인 얼굴, 주민번호 유출…KISA 대응 나서

 

거래량 기준 세계 최대 암호화폐 거래소인 바이낸스가 고객 인증 정보 유출 관련 혐의를 조사중이다. 

지난 7일 오전 11시경(현지 시간), 텔레그램 그룹은 수백명의 개인들이 신분증과 ‘바이낸스, 02/24/1’이라는 문구가 기재된 문서를 들고 있는 이미지 파일이 배포됨에 따라, 해당 데이터가 고객 신원 확인(Know-Your-Customer, 이하 ‘KYC’) 관련 정보이며, 바이낸스 거래소 해킹을 통해 취득한 것이라는 주장이 제기됐다. 

유출이 사실일 경우, 지난해와 올해 바이낸스에 KYC 용도로 개인 정보를 제출한 6만 여명의 사용자가 피해를 입을 가능성이 있다. 

피해자의 국적은 한국, 중국, 일본, 인도, 호주, 우크라이나, 미국 등 다양하며, 특히 한국 피해자의 경우, 얼굴 뿐 아니라 주민등록번호까지 모두 유출되어 논란을 더욱 가중시켰다. 

국내 피해의 최소화를 위해 조사 및 대응에 나선 한국인터넷진흥원(KISA)은 ‘경우에 따라 해당 업체에 공문 전달 및 현장 조사 가능성이 있다’고 밝혔다.

이 같은 논란에 바이낸스 측은 7일(현지 시간), ‘텔레그램에서 유포된 데이터는 바이낸스 자체 데이터와 불일치하며, 이것이 거래소에서 수집됐다는 증거가 없다’고 전했다. 

이어 ‘해당 이미지에는 바이낸스의 워터마크가 없다’면서 ‘우리 보안팀은 해당 이미지의 출처를 밝히기 위해 가능한 모든 단서 추적에 집중하고 있다’고 설명했다. 자오창펑 바이낸스 대표도 이날 오후 트위터를 통해 ‘KYC 유출 FUD(공포, 불확실성, 의심)에 빠지지 말라. 현재 조사 중이며 곧 발표할 것’이라는 입장을 전했다.

바이낸스 측은 또 ‘이전에 신원 불명의 개인이 바이낸스 KYC 데이터와 유사한 10,000개의 사진을 유출하겠다고 협박하며, 300 BTC를 요구한 사실이 있다. 이후 우리가 이에 반응하지 않자, 해당 사진을 온라인 및 언론 매체에 배포하기 시작한 것’이라고 설명했다.

암호화폐 전문 매체 코인데스크는 지난 월요일을 기점으로 신분증이 유출된 것으로 파악되는 수백명 중 세 명과 접촉했다. 이 중 두 명은 ‘이미지의 진위성 및 해당 이미지를 '바이낸스 공식 사이트(Binance.com)'에 2018년 2월 24일에 제출했다’는 사실을 확인해줬다.

그들 중 한 명은, 그가 사이트 접속 시마다 받은 이메일을 통해 지난해 1월(최초 계정 등록 시점)부터의 바이낸스 로그인 내역을 모두 공개했다. 이를 통해 그가 2018년 2월 24일 5시 UTC경에 바이낸스 공식 사이트에 접속한 사실을 입증할 수 있었다. 그는 또 개인 휴대전화에 2월 24일 6시 UTC경 저장된 신분증 사진(텔레그램 유출본과 동일)도 공개했다.

또 다른 사용자는 ‘제출한 사진 사이즈 수정을 시도했고, 이에 따라 2월 24일에 바이낸스 고객 지원팀으로부터 이메일을 받았다’고 전했다. 이메일은 발신자의 도메인은 ‘binance.zendesk.com’으로 바이낸스 거래소에서 정기 공지 사항을 전달하는 도메인과 동일했다고 설명했다.

세 번째 사용자는 신원 도용의 피해자가 될 위험도 있었다. 분석 결과, 사진의 얼굴은 피해자와 비슷해 보였으나, 주소 정보가 불일치했다. 

코인데스크에 따르면, 사진의 오류 수준 분석(error-level analysis)을 통해 ‘일부 사진은 상단의 밝은 부분 등이 수정된 것’으로 파악됐다. 

바이낸스 측은 7일 답변 중 ‘유출된 대다수의 사진이 촬영된 지난해 2월경, 외주 업체와 KYC 인증 관련 협력한 사실이 있다’고 밝혔다. 그러나 해당 업체에 KYC 데이터 접근 권한을 얼마나 부여했었는 지, 혹은 해당 업체의 자체 이미지 파일 획득 여부 등 구체적 정보는 밝히지 않았으며, ‘해당 업체를 조사 중에 있으며, 그 결과를 공지할 것’이라고 일축했다.

법무법인 주원의 정재욱 변호사에 따르면 거래소에서 개인정보가 유출됐다면 정보통신망법 위반으로 형사 고소가 가능하나, 현실적으로 해외 거래소를 상대로 하기에는 다소 어려움이 있다.

한편, 사용자들 사이에서는 특히 지난 5월에 있었던 7,000BTC 및 개인 정보탈취 건 등 앞서 발생한 총 3건의 바이낸스 해킹 사실이 회자되고, 심지어 이와의 직접 연관성도 제기됨에 따라 불안감이 더욱 고조되고 있다. 

이에 바이낸스 측은 ‘우리 관리자는 절대 먼저 개인 SNS를 통해 연락하지 않으므로 메신저 등을 통한 인증 요청 사기에 각별히 유의하고, 바이낸스 KYC 인증 시 도메인 주소를 정확히 확인할 것’을 당부했다.

또한, 범인 제보자에게는 중요도에 따라 보상금을 최대 25BTC까지 지급할 것이라고 공지했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.