|
||
그렇다면 인터넷의 범죄자들은 이 정보를 어떤 식으로 악용할까. 지금 당장 인터넷 범죄를 저지르려고 마음 먹고 있는 이에게 1000만 명에 달하는 고급 개인정보가 손 안에 있다면 그는 어떤 일을 벌일까. 혹시 내 월급통장의 돈이 나도 모른 사이에 슬금슬금 빠져나가고 있는 건 아닐까. <일요신문>에서는 국내 보안업체 전문가, 해킹대회 우승 동아리 회원, 경찰 사이버 수사대 등을 통해 그들이 벌일 수 있는 ‘나쁜 짓’을 다각도로 미리 체크해보았다.
인터넷 보안업체 소프포럼 이순형 부사장(39)은 국내 대형 사이트 해킹은 95%가 ‘중국발’이라고 전한다. 실제로 중국의 포털사이트에는 한국인의 개인정보가 나돌고 있고 이 중 상당수가 실제 개인정보와 일치하는 것으로 드러나고 있다.
해커는 중국의 한 PC방에서 포털 사이트의 보안망을 뚫고 다량의 회원정보를 입수한다. 한국 경찰은 IP 추적을 통해 중국의 어느 지역, 어느 PC방의 어느 컴퓨터에서 해킹이 이루어졌는지를 파악할 수는 있다. 하지만 용의자를 찾기 위해서는 중국 당국의 협조 속에서 탐문수사를 해야 한다. 그러나 중국 당국의 협조를 얻기도 힘들지만 용의자를 검거하더라도 한국 경찰이 처벌할 수는 없다. 게다가 중국은 국내만큼 해킹에 대한 처벌수위가 그리 높지 않다고 한다. 이 부사장은 그 이유로 “해커가 피해를 준 데가 중국 사이트도 아닌 데다 자국에는 경제적인 이익을 가져다주기 때문”이라고 설명했다. 중국인 해커가 한국의 포털 사이트를 해킹해 빼낸 개인정보를 다시 한국에 판다면 그 해커는 중국 정부 입장에서는 일종의 ‘수출 역군’인 셈이다.
그렇다면 중국 해커들은 한국 포털사이트를 통해 입수한 개인정보를 가지고 어떤 방식으로 지갑을 채울까.
가장 널리 활용되고 있는 수법은 도용한 회원정보로 게임 사이트에 가입, 아이템을 확보하는 것이다.
웬만한 롤 플레잉 게임들은 아이템을 사고 판다. 얼마 전까지만 해도 이러한 아이템 거래 때문에 일어나는 각종 사고 소식을 듣기도 했다. 불법으로 도용된 회원 정보는 이러한 아이템 수집에 악용될 수 있다.
중국 해커가 한국의 포털 사이트를 공격하는 이유는 한국인 주민번호를 비롯한 개인정보를 입수하기 위해서다. 이미 옥션의 개인정보들이 중국 사이트를 통해 거래되고 있다는 사실이 확인되기도 했다. 이들은 이 정보를 건당 꽤 높은 가격에 팔 수 있다. 이러한 개인정보를 가지고 가장 흔하게 돈벌이를 할 수 있는 방법이 게임 아이템을 확보하는 것이다. 하나의 주민번호는 게임상에서 하나의 캐릭터를 만들 수 있고 이 캐릭터가 실제 현금으로 거래될 수 있는 게임 아이템을 가질 수 있다.
만약 1만 명 정도의 개인정보를 가지고 있다고 치자. 이 정보를 가지고 1만 명의 중국인을 아르바이트로 고용해서 PC방에서 하루에 15시간 이상씩 게임만 하게 한다. 이들은 롤 플레이 게임을 하면서 아이템을 확보하고 업주는 이렇게 모은 아이템을 다른 게임 참가자들에게 파는 것이다.
이러한 유형의 사이버 범죄는 단순한 가상 시나리오가 아니다. 이미 국내에서도 벌어진 적이 있으며 대량으로 불법 유출된 개인정보가 가장 흔하게 악용되는 케이스다.
실제로 지난 2007년 2월 중국인 게이머 수천 명을 고용해 온라인 게임 ‘리니지’에 쓰이는 사이버머니를 모은 뒤 국내 게이머들에게 팔아 100억 원가량을 벌어들인 업체가 국세청에 의해 탈세 혐의로 적발되기도 했다.
게임에 이용하지 않는다고 해서 안전한 건 아니다. 가장 광범위하게 개인정보가 악용되는 것이 전화금융사기, 일명 ‘보이스 피싱’이다. 실제로 옥션이 해킹당한 이후 국내 경찰에 접수된 보이스 피싱 신고가 평소 한 달 600건에서 1300건으로 두 배 이상 늘어났다고 한다.
그런데 문제는 개인정보가 구체적이면 보이스 피싱도 훨씬 쉬워진다는 사실이다. 옥션의 개인정보가 주민번호는 물론 계좌번호까지 포함되어 있었기 때문에 보이스 피싱 수법이 훨씬 더 진화할 수 있는 것이다.
포항공대 컴퓨터 보안 동아리 ‘플러스팀’의 송종혁 군(23)은 “보이스 피싱이 성공하기 위해서는 상대방을 잘 속여야 하는데, 상대의 개인정보를 많이 알면 알수록 훨씬 더 속이기가 수월해진다”고 전한다.
“보이스 피싱 업체는 상대방의 이름, 주민등록번호나 전화번호 등을 먼저 얘기하면서 진짜 기업인 것처럼 신뢰를 줄 수 있다. 예를 들어 ‘○○○ 고객님, ○○통신사인데, 휴대폰번호가 XXX-XXX-XXXX이시죠? 주민번호를 입력하시어 확인 바랍니다’라고 해 주민번호가 맞는지 틀린지 검사를 해준다. 이 외에도 주소를 확인해 줄 수도 있고 계좌번호를 확인해 줄 수도 있다. 이런 식으로 상대방에게 진짜 이동통신업체인 것으로 믿게 한 뒤 적당한 핑계를 대며 일정한 금액을 지정된 계좌로 입금하라는 식으로 전화사기를 벌일 수 있다”는 것이다.
인터넷 상에서 개인정보는 곧 돈이다. 소프트 포럼의 이순형 부사장은 “이메일 주소 한 건당 50~100원에 거래되고 있는 실정이다”라고 말한다. 이메일주소를 사는 업체는 스팸 메일을 보내는 광고 회사들이다. 단순하게 산술적으로 계산하면 1000만 명의 개인정보를 거래하면 최소 5억 원에 달하는 셈이다. 이 부사장은 “옥션의 개인정보는 이메일 주소뿐 아니라 더욱 구체적인 개인정보가 들어 있고 그 수가 엄청나기 때문에 문제가 더 심각한 것”이라고 전했다.
업계전문가들은 옥션뿐만 아니라 또다른 초대형 포털사이트 역시 해킹을 당했다고 털어놓는다. 다만 옥션은 해킹당한 사실을 인정한 반면 이 포털사이트는 이를 부인해 아직 문제되지 않을 뿐이라고 말했다. 해킹당한 사실을 인정하지 않는 이유는 옥션처럼 소비자와 언론의 뭇매를 맞게 될 것이 뻔한 데다 각종 소송을 당할 수 있기 때문이라고 했다. 그러나 당장의 ‘매’는 피해가고 있지만 이 문제가 터지는 건 시간문제라고 지적했다.
대량의 개인정보는 대형 포털사이트에 대량으로 팔릴 수도 있다. 예를 들어 현재 회원수가 300만 명인 포털사이트가 있다고 하자. 이 포털사이트는 현재 매각을 추진 중이다. 그런데 불법으로 500만 명의 회원 정보를 입수해 이를 사이트에 가입시킨다. 그러면 순식간에 회원수가 800만 명인 포털사이트가 된다. 회원 수가 많으면 많을수록 매각 대금이 커지는 건 당연한 일.
신규 사이트를 오픈하는 일도 가능하다. 1000만 명의 회원정보를 입수한 사람이 새롭게 사이트를 오픈하고 모두 회원가입을 시키면 순식간에 1000만 명의 회원을 거느린 사이트가 탄생한다. 요즘 같은 IT 사회에서 그 정도 회원 규모의 사이트는 수십억 원의 가치가 있다. 물론 방문자수 등이 뒷받침되지 않아 현실성은 없지만 가입자수만 따진다면 ‘신흥 IT 재벌’이 탄생할 수도 있다는 얘기다.
1000만 명을 일일이 회원가입시키는 일도 보통 일이 아닐 듯싶다. 하지만 전문가들에 따르면 이는 매우 간단한 일이라고 한다. 포털사이트 운영자는 간단한 조작으로 수백만 명을 회원가입시킬 수 있는 기술을 보유하고 있다.
하지만 경찰청 사이버대응센터 이수란 경위는 실제로 이런 일이 일어날 가능성은 희박하다고 말했다. 그 이유는 “불법 유출된 회원정보가 음지에서 거래되는 게 아니라 양지에서 거래된다면 경찰의 수사망에 쉽게 걸리기 때문”이라고 했다.
이 경위는 “회원정보의 유출은 주로 불법 음란·도박 사이트에서 이뤄진다”고 설명한다. 또 “이러한 불법 사이트는 회원정보를 보이스 피싱 업체와 쉽게 거래하고 있는 실정이다”고 덧붙였다. 결국 불법 사이트에 가입하는 이용자들은 자발적으로 보이스 피싱 업체에 자신의 개인정보를 제공한 꼴이 된다.
유출된 개인정보는 다양한 사이트에서 다양한 방식으로 이용될 수 있다. 이름과 주민번호를 도용해 가짜 블로그나 미니홈피를 만들 수 있다. 포항공대 송종혁 씨는 “더욱 염려되는 점은 ‘내가 어떤 사이트에 가입해서 어떤 활동을 하는지 도통 알 수가 없다”는 점이라고 설명한다. 금전적인 피해는 아니더라도 사생활에 심각한 피해를 입을 가능성이 농후하다.
옥션의 회원정보 중에 계좌번호가 유출되었다는 사실 때문에 많은 가입자들이 자신의 계좌에 있는 돈이 빠져나갈지도 모른다고 우려하고 있다. 하지만 인터넷 뱅킹을 통한 자금 인출은 쉽지 않다고 한다. 소프트 포럼의 이순형 부사장은 “국내 인터넷 뱅킹은 공인인증 제도를 시행하고 있는데 지금까지 공인인증을 통한 보안이 뚫린 적은 없었다”고 말했다.
최근 금융감독원도 ‘옥션 해킹사고로 인한 실제 금융 피해가 일어날 가능성은 낮다’고 발표한 적이 있다. 하지만 금감원 관계자는 “보통 인터넷 사용자들은 동일한 아이디어 비밀번호로 옥션 같은 사이트에 가입도 하고 인터넷 뱅킹에도 사용하기 때문에 공인인증을 통한 보안이 뚫릴 수 있는 위험이 좀 더 커진 셈”이라고 전한다. “그러므로 동일한 아이디와 비밀번호를 쓰고 있는 사람이라면 만약의 사고에 대비해 번호를 바꾸는 게 좋다”고 설명했다.
최악의 경우는 옥션의 개인정보와 은행 거래 때 사용하는 개인정보가 동일한 케이스다. 유출된 개인정보를 통해 신분증이 위조되면 이러한 개인정보를 바탕으로 은행에서 현금을 인출하는 일이 가능해지기 때문이다. 뿐만 아니라 신분증과 각종 개인정보를 확보했다면 더 다양한 범죄를 저지를 가능성이 크다고 할 수 있다.
불법 유출된 회원정보를 이용하면 계좌를 통해 자금인출은 아니더라도 휴대폰 인증을 통한 소액 결제를 할 수 있다. 불법결제를 막기 위해 휴대폰 소지자가 ‘인증번호’를 입력하게 하고 있지만 개인정보와 위조된 신분증으로 휴대폰을 개설하면 이도 소용없다는 것이다.
류인홍 기자 ledhong@ilyo.co.kr
