빗썸은 3월 29일 22시 일부 암호화폐(EOS 추정)에 대한 비정상적 출금행위를 감지했으며, 이를 막기 위해 전체 암호화폐 입·출금 서비스를 3월 29일 23시부터 중단한다고 밝혔다.
빗썸 관계자는 "현재 경찰과 관계당국에 신고를 하고 암호화폐 입출금 시스템 점검과 사고 원인 조사를 진행 중이다"며, "이번 암호화폐 출금 사고를 외부 공격이 아니라 내부자 소행으로 판단하고 있다"고 말했다. 점검 결과 외부 침입 흔적이 발견되지 않았고, 얼마 전 희망 퇴직과 비용 절감을 실시해 회사에 대한 직원들의 불만이 팽배했다는 것이 그 근거다.
정확한 피해규모는 아직 파악되지 않았다. 빗썸 측은 피해규모 파악과 추가 피해 발생을 막기 위해 암호화폐 입출금 서비스를 당분간 중단한다고 전했다.
빗썸측은 이번에 사라진 암호화폐는 회사가 보유한 여유분이며 고객들의 자산은 안전하게 보관되고 있다고 강조했다. 거래를 위해 활성화한 '핫월렛(거래용 지갑)'에서 사고가 일어났고, 고객들의 자산은 '콜드월렛(보관용 지갑)'에 보관되어 있어 문제가 없다는 설명이다. EOS Authority가 제기한 프라이빗키 탈취설도 부인했다. 프라이빗키란 암호화폐 접근을 위한 최종 승인절차로, 해당 키가 유출되면 콜드월렛에 보관된 암호화폐도 탈취할 수 있게 된다.
빗썸에서 보안 사고가 터진 것은 이번이 처음이 아니다. 2017년 해킹으로 고객 개인정보 3만여건이 유출됐고, 2018년 190억원 수준의 고객 암호화폐를 도난당해 이를 회사가 보상하기도 했다.
한두 번은 실수라고 여길 수도 있겠으나, 세 번이면 얘기가 다르다. 보안은 흔히 기술과 사람을 관리하는 것이라고 말하곤 한다. 기술 관리로 외부 침입을 막고 사람 관리로 내부 유출을 막는다는 뜻이다. 외부 침입에 이어 내부 유출도 막지 못함으로써 빗썸 보안 시스템 전반에 근본적인 문제가 있다는 지적이 나오고 있다.
아이러니하게도 빗썸을 운영하는 비티씨코리아는 지난해 9~12월 과학기술정보통신부와 한국인터넷진흥원(KISA)이 진행한 정보보호 수준 점검을 통과했다. 85개 보안 점검항목을 모두 충족했다.