780만명 개인정보 빼낸 10대 해커 구속

신용카드 개인정보 47만여명분 포함

주소와 연락처 등 일반신상정보 뿐 아니라 e-메일 주소, 은행계좌번호, 현금카드번호, 연봉 등 소득관련 정보까지 모두 포함된 신용카드정보가 이처럼 대규모로 유출된 것은 처음이다.

경찰청 사이버테러대응센터는 12일 전 인터넷 보안업체 직원 김모(19)군을 정보통신망 이용촉진 등에 관한 법률위반 혐의로 구속하고, 공범 이모(16)군을 불구속 입건했다.

◆ 개인정보 유출 및 판매

경찰에 따르면 김군 등은 지난달 중순 신용카드결제 승인처리업체인 ㈜한국신용카드결제의 홈페이지를 통해 전산망에 침입, 데이터베이스에 저장돼 있던 47만여명의 개인정보를 빼내 마케팅 및 리서치 전문업체에 판매하려한 혐의다.

이들은 또 인터넷업체 9곳의 홈페이지를 해킹, 사상 최대규모인 780여만명의 이름과 주민번호 등 개인정보를 유출한 혐의도 받고 있다.

조사결과 이들은 지난달 26일 인터넷 마케팅 및 리서치 전문업체 관계자 2,000여명에게 "▦성명과 주민번호, 주소, 연락처, e-메일주소 등 개인의 기본정보는 1인당 50원 ▦기본정보에 신용카드번호, 은행계좌번호 또는 현금카드번호가 포함된 고급정보는 1인당 300원 ▦연봉 등 개인의 소득 관련정보가 포함된 최고급 개인정보는 1인당 600원에 판매한다"는 e-메일을 3차례나 보낸 것으로 드러났다.

경찰은 이들이 관심을 보인 일부 업체 관계자에게는 이름과 주민번호 등이 담긴 샘플을 보내고, 수차례 e-메일을 주고 받은 사실을 밝혀내고 답신자의 신원도 조사 중이다.

◆ 해킹수법

김군 등은 카드결제업체의 홈페이지 게시판이 내부네트워크와 분리운영되지 않은 보안시스템상의 허점을 이용, 게시판을 통해 서버로 침투했다.

사이버테러대응센터 양근원(梁根源) 수사대장은 "㈜한국신용카드결제의 전산망은 보안시스템이 허술한 데다 국내 모든 신용카드사 및 금융사와 연결돼 있어 자칫 대부분의 신용카드 정보가 유출될 수도 있었다"고 지적했다.

◆ 김군은 누구

김군은 지난해 12월 인터넷보안업체인 S리서치에 근무하며 고객회사의 보안시스템 점검을 빌미로 80여개 업체 650만명의 개인정보를 유출한 혐의로 회사동료들과 함께 불구속입건 됐었다. 지난해 6월 리눅스 해킹 및 보안관련 서적을 출판할만큼 최고수준의 컴퓨터실력을 보유한 것으로 알려졌다.

경기 C정보고 2년생인 이군은 S리서치 수습연구원으로, 김군과 함께 보안시스템 개발업무를 담당해 왔다.

배성규기자