20대 해커 2명이 개인정보 ‘1700만건’ 털어

의료계 협회 홈페이지 및 부동산· 스포츠도박 사이트 해킹… 개인정보 판매 등 3억6천만원 챙겨

[아시아경제 박혜숙 기자] 20대 해커 2명이 1700만건에 달하는 개인정보를 털었다.

인천경찰청 사이버수사대는 지난해 9월부터 최근까지 국내 인터넷 사이트 225개를 해킹해 1700만건의 개인정보를 취득· 판매한 혐의(정보통신망이용촉진 및 정보보호등에관한법률 위반)로 김모(21)씨와 최모(21)씨 등 2명을 구속하고 7명을 불구속 입건했다고 26일 밝혔다.

개인정보가 유출된 사이트는 대부분 도박사이트이지만 의료계 협회 홈페이지, 부동산 사이트, 증권정보 홈페이지도 포함됐다.

이들이 해킹으로 탈취한 개인정보 규모는 의사협회 8만명, 치과의사협회 5만6000명, 한의사협회 2만명이다. 이 중에는 의사가 아닌 일반회원도 있다.

유출된 개인정보는 아이디·비밀번호·주민등록번호·휴대전화번호·주소 등이다. 의사협회는 회원의 의사면허번호도 털렸고 한의사협회는 근무지·졸업학교 등의 정보도 유출됐다.

김씨 등은 지난 15∼16일 이들 3개 협회 홈페이지를 ‘웹셸(Web Shell)’ 방식의 해킹 수법으로 해킹했다. 웹셸은 악성코드를 사이트에 심어 관리자 권한을 얻을 수 있는 방식의 해킹 수법이다.

의사 개인정보가 제3자에게 이미 판매됐는지는 확인되지 않았다. 실제 해킹을 실행한 신원 미상의 해커가 중국에 거주하고 있어 아직 검거되지 않았기 때문이다.

그러나 이 해커가 검거되지 않아 언제든 의사들의 개인정보가 제3자에게 제공돼 범죄에 악용될 가능성을 배제할 수 없는 상황이다.

이들은 또 증권정보 사이트 ‘와우넷’과 부동산정보 사이트 ‘부동산114’도 해킹해 각각 197만명, 151만명의 회원 개인정보를 빼냈다.

이들은 특정사이트를 해킹해 개인정보를 넘겨달라는 의뢰를 받고 사이트 1개 당 50만~200만원씩 모두 1억원을 챙긴 것으로 드러났다.

또 65개 불법 스포츠도박 사이트에서는 해킹으로 관리자 권한을 확보, 게임에서 져도 이긴 것으로 승부를 조작하는가 하면 사이트 운영자에게 “각종 데이터를 삭제해 폐쇄시키겠다”며 협박해 2억6000만원을 챙기기도 했다.

이들이 챙긴 부당이득은 총 3억6000만원으로 경찰이 전북 익산 근거지를 급습했을 때 냉장고에서는 현금 5000만원이 발견됐다.

주범 김씨는 중·고교를 검정고시로 입학하고 대학에는 진학하지 않았으며 평소 독학으로 해킹 능력을 키워온 것으로 조사됐다. 그는 2012년 11월 ‘오늘의 유머’ 게시판에 악성코드를 유포, ‘좀비 PC’ 10만대를 짧은 시간에 만들었다가 검거된 전력이 있다.

공범 최씨도 모 대학 정보보안학과 휴학 중으로 인터넷카페 등에 악성코드를 유포하다 검거됐었다.

경찰은 이번에 해킹당한 협회·업체 대부분이 개인정보 책임자를 형식적으로 지정하거나 보안관리를 외주업체에 맡긴 채 관심을 갖지 않는 등 보안관리가 허술한 탓에 해킹에 취약했다고 설명했다. 일부 업체는 경찰이 통보하기 전까지 자사 사이트가 해킹당한 사실조차 알지 못했다.

경찰 관계자는 “개인정보에 암호화 설정만 했어도 최소한 개인 주민등록번호 등의 유출은 막을 수 있었다”며 “개인정보 유출 업체를 대상으로 개인정보보호법 이행 여부 등을 철저히 조사해 위법행위가 드러나면 처벌할 방침”이라고 밝혔다.

박혜숙 기자 hsp0664@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>