국내 공공기관, 보안 확인 기관 등을 해킹해 얻은 유력 자산가들의 개인정보로 계좌에 접근해 수백억 원을 빼낸 국제 해킹 조직 일당이 경찰에 붙잡혔다. 해킹 조직은 국내 재벌 기업 회장과 사장, 연예인·법조인 등 재력가를 타깃으로 삼았으며 금전 탈취를 시도한 계좌의 총잔액은 55조 2200억 원에 달하는 것으로 나타났다. 비대면 인증 체계의 허점을 파고 든 범죄 조직에 국내 오피니언 리더들도 위협을 받은 만큼 보안 취약 요소에 대한 국가 차원의 점검 및 대비가 필요하다는 지적이 나온다.

서울경찰청 사이버수사대는 28일 사건 관련 브리핑을 열고 “정부와 공공·민간기관 웹사이트를 해킹한 뒤 저명한 재력가들의 개인·금융·인증 정보를 탈취해 본인 인증 수단을 확보하는 방식으로 자금을 빼낸 해킹 조직 총책 등 18명을 검거하고 3명을 구속했다”고 밝혔다. 개인정보 탈취 등 피해를 입은 인원은 기업 회장·대표·사장·임원 75명, 법조인·공무원 11명, 연예인 및 인플루언서 12명, 체육인 6명, 가상자산 투자자 28명 등 총 258명이다.

이들 중 실제 금전적 피해를 입은 피해자는 16명이며 총피해액은 390억 원이었다. 1인 최대 피해 액수는 약 213억 원인 것으로 확인됐다. 탈취 직전에 금융기관이 출금을 차단해 미수에 그친 금액도 250억 원에 달한다. 경찰은 조직이 가로챈 피해액 중 213억 원을 환수해 피해자들에게 반환했다.

중국 국적 조선족 총책 A 씨와 B 씨 등은 2023년 7월부터 올 4월까지 중국 옌지, 다롄과 태국 방콕 등에 거점을 두고 보안이 취약한 국내 정부·공공기관, 정보기술(IT) 플랫폼 업체, 금융 공동 관리 기관 등을 해킹해 주민등록번호·비밀번호 등 민감 정보를 데이터베이스로 구축했다. 이들은 금융 자산 잔액인 많고 신분증 및 운전면허 정보, 계좌번호, 전화번호 등 개인·금융·인증 정보가 확보된 258명을 범행 대상으로 삼았다. 1차 대상은 자산이 많은 재력가였으며 2차 대상은 휴대폰 무단 개통 등에 바로 대응하기 어려운 교정 시설에 수감 된 기업 회장, 유명인이나 해외 체류 중이거나 군에 입대한 연예인·체육인 등이었다.

오규식 서울경찰청 사이버범죄수사2대장이 28일 서울 종로구 서울경찰청에서 알뜰폰 무단 개통과 관련된 국제 해킹조직의 총책 검거에 관해 설명하고 있다. 연합뉴스

피의자들은 피해자들의 계좌에 접근하기 위해 필요한 모든 과정을 치밀하게 준비했다. 확보한 개인정보로 신분증을 위조해 실명 인증을 통과했다. 이후 간편 인증 데이터를 제3자의 명의로 변조한 일명 ‘대포 인증서’를 사용해 간편 인증까지 뚫어냈다. 금융거래에 사용할 피해자 명의의 알뜰폰을 개통하기 위한 사전 작업을 마친 것이다. 해킹 조직은 알뜰폰 사업자 12곳의 개통 서비스를 해킹하는 등 방식으로 알뜰폰 유심을 무단으로 개통했다. 금융기관에서 사용하는 보안 신분증과 일회용 비밀번호(OTP)를 발급 받은 피의자들은 이체 한도를 1일 5억 원으로 높이기도 하며 계좌에 수월하게 접근해 조직 소유의 계좌로 잔액을 송금했다.

피해 신고를 접수한 경찰은 1년가량 해킹 인프라 서버와 보안 메신저 등을 추적했다. 이후 올 5월 8일 방콕의 한 호텔에 은신하던 총책들을 검거했다. 경찰은 A 씨를 이달 22일 한국으로 송환해 정보통신망법 위반, 특정경제범죄법 위반 등 11개 혐의로 24일 구속했다. 태국 현지에 구속 중인 B 씨에 대해서는 태국 당국에 긴급 인도 구속을 청구하는 등 국내 송환 절차를 진행하고 있다.

경찰은 ‘알뜰폰 사업자의 정보보호 최고책임자(CISO) 지정 및 정보보호관리체계(ISMS) 인증 의무화 방안’ 내용이 담긴 정보통신망법 시행령 개정을 추진하고 있다. 해당 법안은 입법 예고를 마치고 현재 법제처 심사 단계에 있다. 경찰 관계자는 “이번 사건은 온라인 본인 인증 체계의 신뢰를 위협하고 국민의 재산과 개인정보 보호에 심각한 위험을 초래할 수 있는 구조적 문제점을 드러낸 사례”라며 “휴대폰 비대면 개통 절차와 본인 인증 체계 전반에 잠재된 보안 취약 요소에 대해 더욱 철저한 점검과 개선 등 보안 강화가 필요하다”고 지적했다.