이들은 지난해 2월9일부터 9월25일까지 아이디·비밀번호 통합관리 서비스를 제공하는 이스트소프트의 알툴즈 회원 약 16만명의 계정에 부정 접속해 각 회원이 등록한 인터넷 웹사이트 아이디·비밀번호 약 2500만건을 유출했다.

이 중 14만명의 아이디·비밀번호 약 43만개를 피해업체에 제시하며 “5억원을 주지 않으면 유출된 정보를 언론사 등에 넘기겠다”며 협박했다.

피의자들은 유출한 피해자들의 정보로 포털과 이동통신사 등 웹사이트에 부정 접속하고 신분증, 신용카드 사진 등을 확보해 휴대전화 개통 및 서버를 임대한 후 휴대전화 문자와 일회용비밀번호(OTP) 등 본인인증을 우회하며 비트코인을 절취하기도 했다.

이에 지난달 22일 경찰은 인천국제공항 입국장에서 중국인 조씨(27세)를 검거했다. 피의자들은 평소 비트코인 등 가상화폐의 국가 간 시세차액을 이용해 중국에서 구매 후 국내에 판매했던 자들로 드러났다.

이들은 이스트소프트의 알툴즈 회원에게 제공하는 알패스 서비스에는 회원들의 여러 웹사이트 아이디·비밀번호가 저장돼 있다는 사실을 알고, 이를 빼내면 인터넷을 통해 피해자를 사칭할 수 있고 비트코인 등 가상화폐 거래소의 아이디·비밀번호를 입수할 수 있을 거라며 범행을 모의했다.

피의자들은 중국 청도소재 아파트에 작업장을 차려 합숙하며 다른 경로에서 유출된 아이디·비밀번호를 확보해 지난해 2월9일부터 9월25일까지 해킹프로그램 ‘알패스(Alpass)3.0.exe’에 순차적으로 입력, 알툴즈 사용자 16만6179명이 등록한 아이디·비밀번호 2546만1263건을 빼내는데 성공했다.

지난해 9월1일부터 8일까지 피해업체에서 유출한 아이디·비밀번호 43만건과 동영상 파일, 보도자료 등을 제시하며 전화통화 및 전자 우편 등으로 67회에 걸쳐 현금 5억원에 해당하는 비트코인을 요구하며 협박했으나, 이스트소프트는 이에 응하지 않았다.

유출된 개인정보는 대포폰 개설, 서버 임대 등 2차 범죄에 활용됐다. 피의자들은 유출한 정보로 포털사이트에 부정 접속해 피해자들이 저장한 주민등록증과 신용카드 사진을 확보한 후 피해자 최씨 명의로 휴대전화 개통 및 범행에 사용할 서버 5대를 임대했다. 가상화폐 거래소에 피해자 아이디로 접속해 당시 시세로 현금 800만원에 해당하는 가상화폐 2.1 비트코인을 자신의 지갑으로 전송했다.

경찰에 따르면 이번 사건은 시스템 해킹이 아닌 계정 해킹으로 인한 정보 유출로 조사됐다. 아이디·비밀번호 조합을 기계적으로 입력하는 전용 소프트웨어를 제작, 장기간에 걸쳐 알툴즈 서버에 부정 접속해 유효한 아이디와 비밀번호를 대량 유출한 것이다.

특히, 피의자들은 SMS 인증문자가 이용자 휴대폰에 전송되지 않도록 해당 이동통신사의 스팸차단 서비스, 문자 착신전화 등의 수법을 사용했다. 구글 OTP 인증의 경우, 이용자가 보관한 초기설정 코드를 도용해 자신의 휴대전화에 쌍둥이 OTP를 설정해 본인확인 절차를 우회했다.

경찰은 “이스트소프트 및 방송통신위원회·인터넷진흥원과 협력해 유출된 정보를 통해 추가 피해가 발생하지 않도록 관련된 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청하는 한편, 해외 체류 중인 미검거 공범에 대한 수사를 확대하고 있다”며 “인터넷 웹사이트 운영업체에게는 아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지할 수 있도록 보안을 강화할 것을 권고했다”고 말했다.

이어 “이용자들은 유사 피해 예방을 위해 신분증, 신용카드 등의 중요 정보가 촬영된 사진이 포털 웹사이트에 자동 저장되지 않도록 스마트폰 사용에 주의해야 한다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr