-개인정보 사본 가진 알선책 해외도피
[헤럴드경제=원호연 기자]숙박 예약 앱 ‘여기어때’의 취약한 보안을 틈타 99만여명의 회원 및 가맹점 정보, 숙박 예약 현황 등 개인정보를 탈취한 일당이 검거됐다. 경찰은 개인정보 사본을 가지고 해외로 도주한 일당 1명을 쫓고 있다.
경찰청 사이버수사과는 지난 3월 6~17일 중국인 해커를 통해 ‘여기어때’ 전산망에 침입해 이용자 91만명의 숙박예약정보를 포함한 총 99만명의 개인정보 341만 건을 탈취한 뒤 여기어때 측을 협박해 6억원을 가로채려고 한 일당 5명 중 4명을 검거하고 해외 체류 중인 피의자 1명을 추적하고 있다고 1일 밝혔다.
이모(47)씨는 2016년 11월 온라인 게임업체를 인수해 운영하다 알게 된 30대 A씨와 함께 숙박업소 앱 회사를 해킹해 협박해 돈을 벌기로 하고 업체를 물색하던 중 당시 급성장 중이던 여기어때를 점찍었다. A씨는 고향이 비슷해 친해진 박모(34)씨에게 여기어떄를 해킹하면 1억원을 주겠다며 해커를 구해달라고 부탁했고 박씨는 다시 지인을 통해 알게 된 조모(31)씨에게 해커 물색을 부탁했다. 조 씨는 중국인 해커 남모(26)씨에게 1000만원을 대가로 약속하며 여기어때 해킹을 의뢰했고 남씨는 3월 6~17일 간 여기어때 홈페이지를 해킹해 개인정보를 탈취했다.
그달 21일 이씨와 A씨는 개인정보 파일 탈취 사실을 여기어때 측에 전자우편과 고객센터 게시판 등을 통해 통보하며 비트코인 3억원 어치를 요구했다. 여기어때 측이 응하지 않자 4월 18일까지 2차례에 걸처 6억원 까지 요구액수를 늘렸다. 이 과정에서 여기어때 측이 협박에 응하지 않자 임의로 5000여명에게 “좋은 밤 보내셨냐”는 내용의 문자를 보내 개인 정보 유출 사실을 흘렸다. 경찰청 관계자는 “개인 정보 유출을 안 고객들이 회사에 항의하도록 해 협박에 응하게 하려는 시도였다”고 설명했다. 이후 페이스북에 비공개 계정을 만들어 유출 개인 정보를 게시한 뒤 여기어때 측에 과시하기도 했다.
경찰 관계자는 “중국인 해커 남씨는 중국 해커 팀에 소속돼 활동하며 국내에서 다수의 사이트를 해킹 한 것으로 추정된다”며 “개인 정보 유출 프로그램을 직접 제작해 유출된 개인 정보를 의뢰인에게 자동으로 전달되도록 했다”고 설명했다.
문제는 남씨가 사용한 해킹 방법인 SQL인젝션과 세션 하이재킹 방식이 사이트 해킹에 자주 사용되는 수법이어서 보안에 신경썼더라면 예방할 수 있었다는 점이다. SQL인젝션은 데이터베이스에 접근하는 페이지의 백도어 등 취약점을 이용한 공격이며 세션 하이재킹은 관리자 등 정당한 사용자의 권한 정보를 가로채는 공격을 말한다.
남씨는 약속한 1000만원을 받지 못하자 알선책 조씨에게 돈을 재촉했고 조씨는 박씨에게 다시 돈을 요구했다. 여기어때 측이 곧 협박에 응할 것으로 판단한 박씨는 개인 돈으로 조씨와 남씨에게 각각 3000만원과 1000만원을 지급하기도 했지만 여기어때 측이 경찰의 조언으로 협박에 응하지 않아 무위로 돌아갔다.
경찰청 관계자는 ”현재 해외에 도피중인 A씨는 개인 정보 사본을 가지고 있다”며 “정보를 유출하면 자신의 소재가 역추적될 수 있고 죄가 무거워져 개연성은 적지만 해외에서 이를 거래하거나 유출할 가능성을 완전히 배제할 수 없는 상황“이라고 밝혔다.
why37@heraldcorp.com
