경쟁사 골탕 먹이려 디도스 공격도 의뢰, 건당 100만~500만원 받아
'해킹 의뢰' 사회관계망서비스(SNS) 채널을 운영하며 개인정보 수백만 건을 빼돌리거나 사이버 공격을 대행한 범죄조직이 경찰에 붙잡혔다.
이 조직에 해킹 범죄를 의뢰한 고객은 불법 도박사이트, 결혼정보업체, 성형병원, 주식투자 상담 사이트 등이었는데 영업 정보를 무단으로 수집하거나 경쟁사를 골탕 먹일 목적이었다.
전남경찰청 사이버범죄수사대는 20일 정보통신망 이용 촉진 및 정보보호에 관한 법률 위반 등 혐의로 총책 A(48)씨, 해커 B(25) 씨 등 7명을 구속하고 5명을 불구속 입건했다고 밝혔다.
A씨 등은 2020년 8월부터 SNS를 중심으로 해킹 의뢰 채널을 운영하며 경제 전문 언론사, 결혼정보업체 등 385개 웹사이트에서 약 700만 건의 고객 정보를 빼냈다.
가장 많은 개인정보 유출 피해가 발생한 웹사이트는 약 30만 건인 경제 전문 언론사였다.
이들은 각각 100만∼500만원의 의뢰 비용을 받고 해킹 범죄를 수행했다.
피해 업체의 웹사이트 보안 수준, 보유 고객 정보량에 따라 해킹 비용을 올려받거나 내려받는 등 흥정했다.
SNS 공개 대화방 등을 통해 해킹을 의뢰한 고객은 동종 경쟁업계의 최신 고객 정보를 얻어 자신들의 영업에 활용한 것으로 조사됐다.
각 웹사이트의 접속 아이디와 비밀번호뿐만 아니라 휴대전화 번호, 전자우편 주소 등 여러 민감한 개인정보가 해킹으로 유출됐다.
결혼정보업체의 경우 직업·출신대학·거주지 등이, 주식투자 상담 사이트의 경우 보유 주식정보·투자액 규모 등이 포함됐다.
불법 도박사이트 등 일부 고객은 경쟁 업체의 웹사이트를 마비시킬 목적으로 분산서비스거부(DDoS·디도스) 공격을 A씨 일당에게 의뢰하기도 했다.
경찰은 A씨 일당에게 해킹을 의뢰한 고객에 대해서도 수사를 확대하고 있다.
A씨 일당은 빼돌린 개인정보를 대량으로 재판매해 별도의 수익을 올리기도 했다.
경찰은 한국인터넷진흥원 등과 공조해 피해 업체에 해킹 사실을 통보했다.
A씨 일당이 재판매한 개인정보가 전화금융사기(보이스피싱) 조직에 유출된 정황도 확인됐으나, 지금까지 드러난 '2차 피해'는 없다.
해킹 피해를 본 웹사이트 가운데 경찰에 피해 신고를 한 곳은 없었는데 대부분 고객 정보 유출 사실을 몰랐던 것으로 확인됐다.
총책, 기획이사, 해커 등으로 역할을 나눈 A씨 일당은 불법 도박사이트 제작과 관리를 대행하며 범죄를 시작했다.
경쟁 도박사이트에서 고객 정보를 빼내고, 디도스 공격으로 업무를 마비시키면서 해킹 대행 조직으로까지 성장했다.
조직 내에서 해킹을 전담한 IT 보안지식 전문가는 20대 청년 1명이었는데 과거 비슷한 범죄로 처벌받은 이력이 있다.
A씨 일당은 디도스 공격에 필요한 이른바 '좀비 PC'를 대량 확보할 목적으로 해외에 가상 서버를 구축했는데, 국외에 체류 중인 담당 조직원을 검거하기 위한 수사 절차도 진행 중이다.
경찰은 압수물 분석을 통해 A씨 일당이 범행에 사용한 30여 계좌를 특정, 범죄 수익금 약 10억원을 추징 보전했다.
이 10억원은 해킹 대행으로 올린 수익금의 일부인데 경찰은 불법 도박사이트 운영 등으로 거둬들인 범죄 수익이 더 있을 것으로 추정한다.
A씨 일당의 불법 도박사이트가 운용한 도박 자금은 총 3천500억원 규모인 것으로 경찰은 파악하고 있다.
전남경찰청 관계자는 "해킹 피해 예방을 위해 백신과 보안 프로그램을 최신 버전으로 업데이트 해달라"고 당부했다.
이 관계자는 "치안 역량을 총동원해 개인정보 침해 범죄를 탐지하고 추적하겠다"며 "유관 기관과 협업해 피해 예방에도 노력하겠다"고 말했다.