경찰청 사이버수사과는 중국인 해커를 통해 고객정보를 유출한 피의자 일당 총 5명 중 4명을 검거하고 해외 체류 중인 피의자를 추적하고 있다. 검거한 피의자 4명 중 3명은 한국인이고, 1명은 중국인이다.

이들은 여기어때 전산망에 침입해 이용자 91만명의 숙박예약정보를 포함해 총 99만명의 개인정보 341만건을 유출한 후 6억원을 주지 않으면 유출된 정보를 언론사 등에 알리겠다고 협박한 혐의를 받고 있다.

해킹 의뢰 및 공갈혐의를 받고 있는 한국인 A씨(47세·구속)와 해킹을 알선한 B씨(해외체류·미검거)는 IT업종에 종사하면 알게 된 사이로 알려졌다. B씨와 해킹을 알선한 C씨(34세·구속)는 사회생활을 하며 고향이 비슷해 친해진 관계다. 해킹 알선 혐의의 D씨(31세·구속)와 해킹에 참여한 중국인 E씨(26세·구속)는 각각 지인의 소개로 알게 됐다.

A와 B씨는 지난해 11월경 여기어때’이용자들의 개인정보를 해킹한 뒤 이를 이용해 돈을 뜯어내기로 공모했다. B씨는 C씨에게 해킹하면 1억원을 주겠다면서 해킹할 사람을 구해달라고 하자 C씨가 D씨에게 이를 다시 전달했고, D씨는 중국인 해커 E씨에게 1000만원을 주겠다며 해킹을 의뢰했다.

중국인 해커 E씨는 구두약속을 하고 지난 3월6일부터 17일까지 여기어때 홈페이지를 해킹해 이용자들의 숙박예약정보, 회원정보, 제휴점 정보를 유출했다.

A와 B씨는 중국인 해커 E씨로부터 넘겨받은 개인정보파일을 빌미로, 여기어때 측에 개인정보 유출사실을 통보하고 3월21부터 4월18일까지 최초 비트코인 3억원에서 최종 6억원의 현금을 요구하며 협박했다. 그러나 여기어때 측이 응하지 않아 미수에 그쳤다.

A와 B씨는 돈을 받지 못하게 되자 C씨에게 해킹 대가금 지급을 보류했으나, C씨는 D씨로부터의 대가금에 대한 강한 압박을 받아 D씨에게는 3000만원, E씨에게는 1000만원을 송금했다.

경찰은 피의자들을 체포하고 관련 자료를 압수하면서 여기어때로부터 유출된 개인정보 원본파일을 모두 압수했다. 해커 E씨의 하드디스크 등에서는 이번 사건의 개인정보 파일 외에도 다수의 인터넷 홈페이지에 유출한 개인정보파일이 다수 발견돼 추가 수사를 검토 중이다.

경찰에 따르면 현재까지 수사상황 및 압수물 분석결과로 판단할 때 여기어때에서 유출된 개인정보가 피의자들을 통해 제3자에게 제공된 흔적이나 정황은 발견할 수 없다.

다만, 해외에 체류 중인 피의자 B씨가 여기어때 개인정보파일 사본을 소지하고 있는 사실이 확인돼 B씨의 체포와 함께 사본 파일을 확보하기 위해 다각도로 추진 중이다.

해커 E씨는 중국 해커 팀에 소속돼 활동 중이며, 국내에서 해킹 의뢰를 받아 다수의 사이트를 해킹한 것으로 보인다. 개인정보 유출 목적의 프로그램을 직접 제작, 유출된 개인정보가 의뢰인에게 자동으로 전달되도록 했다. 여기어때 홈페이지는 SQL 인젝션 공격에 취약한 상태였고, 해커는 이를 이용해 개인정보를 유출할 수 있었다.

이들은 개인정보 유출 직후, 피해업체 협박 및 추적을 피하기 위해 해외로 출국했다. 약 1개월간 이들은 전자우편 19회, 고객센터 게시판 글 게시 2회, 이용자에게 문자메시지 4713건 발송, 페이스북에 유출 개인정보 5000건 게시 등을 통해 지속적으로 다양하게 협박했다.

경찰은 해외에 체류 중인 B씨의 조속한 체포와 개인정보 파일 회수 및 보이스 피싱 등 2차 피해를 차단하기 위하여 추가 수사를 계속 진행할 예정이다. 또, 관련기관과의 정보공유를 통해 유사사례가 재발되지 않도록 하는 한편, 개인정보를 보관하고 있는 업체에도 취약점 점검 등 개인정보 보호조치를 강화할 것을 권고했다.

<최민지 기자>cmj@ddaily.co.kr