전문 해커를 고용한 뒤 보안이 취약한 업체의 인터넷 홈페이지를 해킹하는 수법으로 700만건의 개인 정보를 빼돌려 유통한 일당이 경찰에 검거됐다.
전남경찰청 사이버범죄수사대는 해외에서 개발한 한 사회관계망서비스(SNS)에 해킹 의뢰 채널을 운영하며, 경제 전문 언론사·결혼 정보 업체·성형외과 등 385개 업체의 웹사이트를 해킹해 고객 정보 700만건을 불법 취득한 뒤 이를 유통한 혐의(정보통신망 침해 등)로 해킹 조직 총책 A(48)씨·기획이사 B(40)씨·전문 해커 C(25)씨 등 7명을 구속하고, 5명을 불구속 입건했다고 20일 밝혔다.
대다수 업체는 이런 피해 사실을 아직 파악하지 못한 것으로 알려졌다. 경찰은 한국인터넷진흥원 등과 공조해 피해 업체에 해킹 사실을 통보했다.
A씨 등이 불법 취득한 개인 정보를 의뢰인에게 넘긴 대가로 올린 범죄 수익은 현재 10억원이 넘는다. 경찰은 “아직 수사 중이라 범죄 수익은 훨씬 불어날 것”이라고 말했다. 개인 정보 700만건 중 3분의 2가량은 정보가 겹치는 것으로 알려졌다.
이들은 서울과 경기, 충북에 사무실을 두고 2020년 8월부터 최근까지 도박사이트 관리 업체를 운영했다. 이 과정에서 경쟁 도박업체 사이트를 해킹해 업무를 방해하거나 개인 정보를 빼돌린 혐의를 받고 있다. 2021년 12월부터는 한 SNS에 해킹 의뢰 채널을 운영하며 본격적으로 ‘해킹 사업’에 뛰어들었다.
개인 정보가 필요한 사람들의 의뢰를 받고 해킹 난이도에 따라 건당 100만~500만원을 받고 1년여 만에 385개 업체의 웹사이트를 해킹해 고객 정보 700만건을 빼돌렸다. 개인 정보에는 이름·주소·성별·휴대전화 등 기본 정보뿐 아니라 출신 대학·직업·주식투자액 등 세부 내용도 포함돼 있었다고 한다.
전문 해커 C씨는 중학생 때부터 독학으로 해킹을 배우다 수도권 소재 4년제 대학 컴퓨터 관련 학과를 다닌 것으로 알려졌다. 19세 때도 해킹 범죄를 저지르고 해당 사이트 관계자에게 금전을 요구하다 검거된 전력이 있다. C씨는 대학은 중퇴했으며, 군 복무 미필자다. 이번에 덜미가 잡히면서 해킹 범죄로 두 번째 검거됐다.
해킹 수법으로는 한꺼번에 접속량을 폭주시켜 사이트에 장애를 일으키는 ‘디도스 공격’이 활용됐다. 디도스 공격에 사용할 좀비 컴퓨터와 해외 가상 서버도 구축했다. 경찰은 범행에 사용한 계좌 30여개를 압수한 뒤 범죄 수익금 10억원은 법원에 몰수 보전을 신청했다. 해킹 의뢰자들은 추후 입건해 조사할 계획이다.
경찰은 “보안 프로그램을 수시로 갱신하고, 개인 정보를 암호화해 보관해야 한다”며 “보안이 취약한 사이트가 범죄 표적이 됐다”고 말했다.