지난해 계정 통합관리 서비스에서 아이디와 비밀번호 수천만건을 빼돌린 후 서비스 운영업체에게 5억원 상당의 가상통화를 요구한 20대 협박범이 경찰에 붙잡혔다. 빼돌린 계정 정보를 활용해 비트코인도 훔친 것으로 밝혀졌다.
경찰청 사이버수사과는 10일 정보통신망법 위반 등 혐의로 중국 국적의 조모씨(27·구속)를 검거했다고 밝혔다. 협박 행위에 가담한 한국인 공범 A씨도 추적 중이다.
조씨 등은 지난해 9월 전화, e메일 등으로 67차례에 걸쳐 이스트소프트에 자신들이 빼낸 회원 계정 정보 중 43만개를 제시하며 현금 5억원 규모의 비트코인을 달라고 협박한 혐의를 받는다.
경찰에 따르면 조씨 등은 지난해 2월부터 7개월간 이스트소프트의 계정 통합관리 서비스(알패스)를 제공하는 ‘알툴즈’ 회원 약 16만명의 계정에 부정 접속해 각 회원이 등록한 각종 인터넷 웹사이트 계정 정보 총 2500여만건을 빼냈다.
알패스는 여러 계정 정보를 한꺼번에 저장해두고 쓸 수 있는 서비스다. 알툴즈 계정 정보 하나만 외우면 각종 웹사이트 등의 계정 정보를 잊지 않고 쓸 수 있다.
알툴즈 회원 계정에 최초 접속하기 위해 조씨 등은 여러 웹사이트 등을 통해 이미 유출된 계정 정보를 취합했다. 이를 무작위로 알툴즈에 입력하는 해킹프로그램을 만들어서 맞는 정보 약 16만개를 찾아낸 것이다.
그중 가상화폐 거래소 계정 정보(1909건)를 악용해 피해자 2명의 비트코인 2.1개(당시 시세로 약 800만원)도 훔쳤다. 피해자의 비트코인을 자신의 비트코인 지갑에 가져오는 식이다.
비트코인 이체를 위한 본인 인증절차를 통과하려고 피해자들이 웹사이트에 저장해둔 주민등록증이나 신용카드 사진, 구글 OTP 초기화 코드(QR) 사진 등도 악용했다. 문자메시지로 본인 인증 하는 경우 유출 정보로 이동통신사 웹사이트에 들어가 문자 수신이 차단되도록 했다. 또 구글 OTP로 본인 인증할 때는 초기화 코드 사진을 이용해 자신의 휴대전화에 해당 OTP를 복제해 썼다.
경찰은 금전적 이익을 노린 사이버보안 범행이 앞으로도 가상통화를 중심으로 발생할 것으로 예측했다. 가상통화를 이 같은 방식으로 직접 빼돌리는 수법이나 범죄수익금을 받아 챙기기 위한 도구로 악용하는 방식 등이다.
경찰 관계자는 “비트코인 이체를 위해 많은 정보가 필요하다 보니 실제 피해 금액은 크지 않았다”면서도 “신분증, 신용카드 등 중요 정보가 촬영된 사진이 클라우드 서비스에 자동 저장되지 않게 스마트폰 사용을 주의해야 한다”고 당부했다. 경찰은 해외에 있는 공범 A씨에 대한 수사를 확대하는 한편 방송통신위원회 등과 협력해 관련 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청했다.
/권용민기자 minizzang@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
