(사진=자료사진)
숙박앱 '여기어때' 전산망을 해킹해 예약정보와 개인정보 수백만 건을 빼낸 뒤 금품을 요구한 일당이 경찰에 붙잡혔다.
경찰청 사이버수사과는 정보통신망법 등의 위반 혐의로 A(47)씨와 중국인 해커 B(26)씨 등 4명을 구속했다고 1일 밝혔다. 또 해외 체류 중인 해킹 알선책 한 명을 쫓고 있다.
경찰에 따르면 A씨 등은 지난 해 11월 '여기어때' 이용자들의 개인정보를 해킹해 돈을 뜯어내기로 공모한 뒤 중국 해커팀에서 활동 중인 해커 B씨에게 범행을 의뢰했다.
이 과정에서 A씨는 해킹을 의뢰한 C씨에게 대가를 약속했다. 해커 B씨는 1천만원을 받기로 한 뒤 지난 3월 홈페이지를 해킹해 이용자들의 숙박예약정보와 회원정보, 제휴점 정보를 유출했다.
'여기 어때'의 홈페이지는 데이터베이스에 접근하는 페이지가 보안에 취약했고, 관리자 홈페이지는 사용자의 권한 정보를 가로채는 공격, 쉽게 말하면 일종의 접근티켓 분실을 탐지하거나 차단하는 체계가 아예 없었다. 고급 해킹기술이 필요하지 않았다.
보안이 허술한 홈페이지에서 유출된 정보는 이용자 91만 명의 숙박예약정보를 포함해 모두 99만 명의 개인정보 341만 건에 달했다. 어느 숙박업소에서 언제 묵었는지에 관한, 어쩌면 민감한 정보들이 상당했다.
A씨는 이를 바탕으로 '여기어때' 측에 4월 18일까지 한 달 동안 집요하게 비트코인 3억원을 시작으로 현금 6억 원까지 현금을 요구했다. 이메일을 보내고 고객센터 게시판에 글을 올리는가 하면, 숙박앱 이용자 5천명에게 "O월O일, 즐거운 X 되셨습니까?" 등의 휴대폰 문자메시지를 보내 '여기어때'를 우회 압박하기도 했다. 다만 보이스피싱 등 정보유출로 2차 피해는 아직 발견되지 않은 상태다.
하지만 '여기어때' 측이 요구에 응하지 않고 협박 연락을 받은 지 이틀 만에 경찰에 신고하면서, 수 억원을 챙기려던 A씨 측 계획은 틀어지기 시작했다. 특히 해커 모집 역할책이었던 C씨는 추후 돈을 벌 것이라는 기대만 가지고 , 자비로 알선비 3천만원을 브로커에게 지불하기도 했다.
결국 A씨 일당은 한 푼도 뜯어내지 못한 상태에서 알선책 한 명을 제외하고 지난 달 모두 경찰에 붙잡히는 신세가 됐다. 경찰은 압수물 분석결과 등으로 판단할 때 '여기어때'에서 유출된 개인정보가 제 3자에게 제공된 흔적은 발견하지 못했다고 밝혔다. 다만 추적 중인 해킹 알선책이 관련 사본을 소지 중인 만큼 검거를 서두르고 있다.
경찰은 또 중국인 해커 B씨의 컴퓨터 하드디스크 등에서 다수의 인터넷 홈페이지에서 유출한 개인정보를 발견하고 수사를 확대하는 한편, 관련기관과의 정보 공유를 통해 비슷한 사례가 재발하지 않도록 한다는 방침이다.