DonPush
“한국인 80%가 털렸다”…해커들이 비밀번호 찾아낸 방법
영일군
2019.12.02 14:55
557

"개인정보 74억 건이 발견됐어요. 본인들 말로는 한국인의 80%가 털렸다고 하던데요."

전 세계 인구가 77억 명이라는데 개인정보 74억 건을 털었다니 이게 어떻게 된 일인가 싶었습니다. 중복되는 정보들을 모두 포함한 수치라고 해도 지나치게 많다는 생각이 들었죠.

심지어 그 74억 건이 대부분 한국인이나 중국인의 것이라니, 한국인 80%의 개인정보를 갖고 있다던 피고인들의 말이 영 과장은 아닌 것 같긴 했습니다. 그래도 의아해서 근거가 있느냐고 물어봤습니다.

"아이, 찾아보면 알잖아요. 저희 검사들 개인정보도 다 나왔어요. 기자님도 한번 찾아드려요?"

'좀비 PC' 만들어 개인정보 74억 건 빼돌려…해커 3명 구속기소

서울동부지검 사이버수사부(부장검사 김봉현)는 개인정보 74억 건을 수집한 뒤 이를 이용해 억대 이익을 얻은 23살 최 모 씨 등 3명을 정보통신망법 위반 등 혐의로 지난달 28일 구속기소 했습니다.

이들은 윈도 정품인증 프로그램이나 엑셀 파일로 위장한 악성 코드를 마구 유포해, 약 4년간 이른바 '좀비 PC'(마치 좀비처럼 해커에게 원격조종 당하는 PC) 만 이천여 대를 관리해왔습니다.

좀비 PC가 된 다음부터는 해커들이 사용하는 제어 서버에서 원격으로 파일을 여닫거나 키보드 입력값을 가로채는 게 가능해집니다. 주요 포털사이트 아이디와 비밀번호, 이름, 주민등록번호, 휴대전화 번호, 이메일, 주소 등 개인 정보를 빼내는 일도 어렵지 않겠죠.

이렇게 모인 좀비 PC들은 다양한 범행에 활용됐습니다. 우선 불법 도박 사이트 등의 운영자들로부터 돈을 받아낼 목적으로 디도스 공격(한꺼번에 수많은 컴퓨터가 특정 웹사이트에 접속함으로써 해당 사이트의 서버를 마비시키는 해킹 방법)을 하는 데 쓰였습니다.

피고인들은 개인정보 약 74억 건을 불법 수집해 마케팅 업체들에 팔아넘기거나, 게임 계정을 해킹해 게임머니나 고가의 게임 아이템을 판매하는 방식으로 1억 4천여만 원의 이익을 얻기도 했습니다.

중국 보이스피싱 조직 PC는 '개인정보 꿀단지'

개인정보 수집 과정에서 핵심 역할을 한 건 중국 보이스피싱 조직의 PC입니다. 이 한 PC에서만 개인정보 54억여 건을 불법 수집했으니, 좀비 PC 중에서도 그야말로 '거물'이었다고 할 수 있습니다.

이 PC를 해킹한 건 우연이 아니었습니다. 피고인 중 하나인 32살 강 모 씨는 과거 중국 보이스피싱 조직의 사무실에서 일했던 경험이 있습니다. 해당 PC에 한국인과 중국인의 개인정보가 얼마나 많이 담겨 있는지 잘 알고 있던 강 씨는 최 씨와 공모해 이 PC를 표적으로 공격했습니다.

강 씨는 중국인에게 직접 개인정보 20억여 건을 사들이기도 했습니다. 게임머니나 아이템을 팔아 챙긴 돈도 모두 보이스피싱 조직에서 일하는 중국인의 계좌를 이용해 받았습니다. 중국의 보이스피싱 조직이 이번 개인정보 유출 사태의 숨겨진 뒷배라고 해도 과언이 아닐 겁니다.

피고인들은 이렇게 얻은 개인정보를 데이터베이스(DB)로 만들어 철저하게 관리하고 있었습니다. 우리나라 성인 국민 상당수가 실제로 검색될 정도로 광범위하고 정확한 DB입니다. 이 DB에 기재된 개인정보의 출처는 명확히 알 수 없지만, 과거 대규모 유출 사태가 발생했던 넥슨과 SK커뮤니케이션즈(네이트) 개인정보도 포함돼 있었습니다.

비밀번호는 귀찮아서 특수문자만 살짝 바꾸지 않으셨나요?

피고인들은 개인정보 DB 속 비밀번호가 변경됐더라도 당황하지 않았습니다. 사람들이 평소 비밀번호를 바꿀 때 문자열은 변경하지 않고 특수문자만 주기적으로 돌려 쓰는 습성을 잘 알고 있었기 때문입니다. 자주 사용되는 특수문자 몇 가지만 대입해보면 손쉽게 계정을 훔칠 수 있었다는 거죠.

이 대목에서 뜨끔하신 분들 많을 겁니다. 이젠 그렇게 하지 말라고 검찰은 당부합니다. 사용 중인 인터넷 사이트 계정의 비밀번호를 주기적으로 바꾸고, 특히 평소 자주 사용하던 문자열은 더는 사용하지 않는 등 세밀한 주의가 필요합니다.

20~30대 젊은 나이의 피고인들은 해킹을 생업으로 삼고 있었습니다. 검찰은 이들이 별다른 죄의식 없이 불법으로 수집한 개인정보를 판매하고, 돈이 되는 것은 무엇이든지 해킹해왔다고 말합니다. 또 다른 사람의 PC를 마음대로 제어할 수 있다는 데 우월감을 느껴왔던 것으로 보인다고 설명했습니다.

개인정보를 활용한 범행 수법이 갈수록 지능적으로 변해가는 만큼, 유출에 대한 우려도 더욱 커지고 있습니다. 검찰은 이제 피고인들로부터 개인정보 DB를 구매해 유출된 개인정보를 악용한 이들에 대해서도 수사를 확대하고, 그 범죄 수익까지 철저하게 추적하겠다고 밝혔습니다.

  • 카카오스토리로 공유하기
  • 페이스북으로 공유하기
  • 트위터로 공유하기
  • 밴드로 공유하기
  • 네이버 블로그로 공유하기
댓글 (0/400)자 이내 저장됩니다.)

댓글 12

banner
구글 추천 푸시