검찰은 지난해 6월 빗썸 대주주이자 실운영자로 알려진 이모 씨와 빗썸을 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 위반 혐의로 불구속기소했다. 이씨는 현재 빗썸에 근무하고 있지 않지만 사건 발생 당시 비상근직으로 빗썸에 근무했다.

검찰에 의하면 이씨는 해커로부터 악성 프로그램이 숨겨진 이메일을 받아 개인 PC를 해킹당했다. 이씨 PC에 저장돼 있던 고객들의 성명, 전화번호, 이메일 등 3만1000여건이 유출됐다.

이후 2017년 5~10월 사이 해커는 사전대입공격(무작위 로그인 시도)을 통해 빗썸 고객들의 주요 암호화폐 거래 정보 등을 빼냈다. 해커는 고객 정보를 활용해 고객센터를 사칭, 인증번호 등을 확보한 뒤 암호화폐 약 70억원을 탈취했다. 국내 대형거래소에서는 처음으로 일어난 암호화폐 부정탈취 사건이었다.

검찰은 이씨가 고객 정보를 보관하고 있으면서도 보안 업데이트나 백신 설치를 하지 않았다는 점, 고객 정보를 암호화 하지 않은 점 등 개인정보 유출 책임이 있다고 판단했다. 또 유출된 정보에는 고객 이름과 전화번호뿐만 아니라 암호화폐 거래내역도 포함됐다고 밝혔다.

이에 대해 빗썸 측은 "개인정보 유출과 해킹 사건은 별개"라는 입장이다. 지난해 6월 빗썸은 공지를 통해 “개인정보유출 사고와 사전대입공격으로 인한 암호화폐 탈취 피해 사건은 별개의 사건”이라고 설명하며 “사전대입공격은 다른 사이트에서도 흔하게 발생하는 공격으로, 빗썸에서 발생한 사전대입공격의 경우 익명의 해커가 사용자계정 탈튀 공격을 장기간에 걸쳐 수십만 번 시도했다”고 밝혔다. 또 “로그인을 시도해 성공하더라도 출금을 위해서는 추가적인 인증절차가 필요하며, 해커는 피해자들에게 보이스피싱 등의 방법으로 인증 문자를 탈취하는 방법을 이용했다”고 덧붙였다.

검찰이 개인정보 유출에 대해 고객보호조치를 미이행했다고 발표한 것에 대해서도 "빗썸은 2017년 당시 사고를 인지하고 방송통신위원회, 한국인터넷진흥원(KISA), 수사기관에 즉시 신고했다"며 "후속조치에 대해서도 수차례 공지했고, 개인정보대책센터를 별도 운영했다"고도 반박했다.

한수사 과정에서 검거된 해커는 2018년 10월 징역 3년을 선고 받은 것으로 알려졌다.