보안

2,700만 명의 개인정보 유출 사건 분석과 사용자 대책

이대영 기자 | ITWorld 2014.08.26
국내 2,700만 명의 개인정보 2억여 건이 무단 유출돼 대출사기 등에 이용된 것으로 드러났다. 특히 이 가운데 1억 건은 이름과 주민등록번호는 물론 금융계좌와 주소, 아이디, 비밀번호, 이메일 주소, 전화번호 등 구체적인 신상정보까지 포함된 것으로 나타났다.

전남지방경찰청 지능범죄수사대는 8월 21일 2,700만 명의 개인정보 2억 2,450만 건을 빼내 대출 사기범 등에 판매해 온 혐의로 강모씨(24)와 전문 해커 한모씨(20) 등 6명을 구속하고, 또다른 해커 최모씨(21)와 대리점 직원 등 10명을 불구속 입건했다. 또한 나머지 7명은 조사 및 추적 중이다.

3가지로 나뉘는 사건 정황
경찰에 따르면, 강씨는 2011년 8월부터 올해 3월까지 중국 해커로부터 개인정보 2억 2,450만 건을 넘겨받은 뒤 '추출기'라는 해킹 프로그램을 통해 게임사이트 등에서 사이버머니와 아이템을 불법 취득하고 이를 현금화하는 수법으로 취했다. 이런 방법으로 강씨는 4억 원을 부당이익을 챙겼다.

또한 강씨는 개인정보 5,000여 건을 전화 대출 사기범들에게 5,000만 원을 받고 팔기도 했다.
경찰은 붙잡힌 박모씨(45) 등을 비롯한 전화 대출 사기범 35명이 개인정보를 1건당 10~100원에 구입 후, 2012년 9월부터 2013년 11월까지 보이스피싱이나 문자메시지 전송 등을 통해 20억여 원의 부당이익을 편취한 것으로 집계했다.

특히 강씨는 유통한 개인정보는 개인정보 종류에 따라 등급을 나눠 1원부터 최대 2만 원까지 가격을 나눠 판매했는데, 유출된 개인정보는 이름, 주민번호, 전화번호, 주소, 아이디, 비밀번호, 금융 계좌번호, 이메일 주소 등이다. 고급 개인정보는 2만 원, 단순한 성명과 주민번호는 1원에 팔렸다.

경찰에 따르면, 대구시에 있는 모 통신사 대리점에 근무하는 직원은 강씨의 부탁으로 전산시스템에 접속해 휴대전화 가입시 제출된 주민등록증 사본에 있던 주민등록(운전면허증) 발급일자와 인적사항 등 개인정보 100여 건을 조회해 1건당 1만~2만 원씩 총 260만 원을 받고 판매했다. 이는 주민번호와 발급일자를 알게 될 경우, 게임 사이트의 비밀번호를 갱신할 수 있다는 점을 악용하기 위함이었다.

한편 한모씨 등 2명은 2014년 2월경, 자신이 직접 개발한 악성코드를 동영상 파일 등에 숨겨 강씨의 PC를 감염시킨 뒤 강모씨가 보관하던 2억 2,450만 건 가운데 1억 600만 건을 다시 해킹, 유통시킨 혐의를 받고 있다.

한모씨는 광고 대행업자인 임모씨(29) 등 6명에게 1건당 300원씩 1만 여건의 개인정보를 팔았으며, 임모씨 등은 이를 이용해 광고주에게 800만 원을 받고 포털사이트와 인터넷 도박 카페 게시판에 타인 아이디로 댓글을 다는 방법으로 불법 도박 사이트를 광고를 해왔다. 경찰은 이들이 유출한 개인정보 사용처에 대해 계속 수사를 진행하고 있다.

이와 함께 또다른 전문 해커인 최모씨 등 3명은 지난 3~5월경까지 불법 인터넷 도박 사이트 등을 직접 해킹해, 가입자 성명, 주민등록번호, 아이디, 비밀번호 등 회원 정보 25만 건을 취득해 건당 최고 300원을 받고 1만여 건 개인 정보를 300만 원에 판매한 혐의를 받고 있다.

개인정보 유출 사건 가운데 사상 최대
이들이 유통한 개인정보는 우리나라 15∼65세 인구 3,700만 명 가운데 72%에 해당하는 수치로, 개인정보 유출 사건 가운데 사상 최대다.


자료. 전남지방경찰청

경찰에 따르면, 범죄현장에서 압수한 개인정보 총 11억 건(중복제거 2억 2,450만 건)을 방송통신위원회에 의뢰 분석한 결과, 침해된 개인정보는 ▲이름, 주민번호, 전화번호, 주소, 아이디, 비밀번호, 금융계좌번호(일부), 이메일 주소가 담긴 1억 건 ▲이름, 주민번호, 주민등록증(운전면허증) 발급일자, 전화번호 100여 건(고급정보), 그리고 ▲이름, 주민번호만 담긴 1억 2,000만 건이었다.

이번에 압수한 11억 건의 개인정보는 대부분 범행목적에 따라 사용하기 용이하도록 연령대별로 분류돼 있었다. 경찰 측은 이 데이터들이 다시 해킹되는 등 반복적으로 이뤄졌던 점으로 보아 또 다른 해커들이 해킹자료를 공유하면서 계속 범행에 이용할 것으로 판단했다.

현재 확인된 1,387만 건 가운데 침해된 사이트는 국내 유명 파일공유 사이트(690만 건), 게임사이트(280만 건), 영화예매 사이트(150만 건), 휴대전화 벨소리 다운로드 사이트(60만 건) 등에서 1,387만 건의 개인정보를 빼낸 사실을 확인했다.

이에 따라 경찰은 개인정보를 침해당한 해당 사이트의 관리 책임자들에 대해서도 안전성 확보에 필요한 조치를 취하지 않는 점을 들어 개인정보보호법 위반 혐의로 조사 중이다.

사용자 대책 방안
특히 각 사이트에서 유출된 개인정보는 아이디와 비밀번호가 모두 포함된 것으로 파악됨에 따라 사용자들의 빠른 대응이 시급한 상황이다.

그러나 경찰 측은 현재 조사중인 상황이어서 유출 사이트 명이나 회사명을 직접 거론하기는 힘들다는 답변이었다. 다만 이번주까지 조사를 마치고 해당 사이트 관리자들에게 개인정보 유출과 관련해 공지하도록 했다.

경찰 측은 해커들이 사용하고 있는 '추출기'로 해킹하는 경우, 가입된 웹사이트 가운데 어느 한 곳의 아이디, 비밀번호만 유출되면 다른 웹사이트의 사이버머니도 해킹될 가능성이 매우 높다고 밝혔다.

'추출기'는 중국에서 활동하는 전문 해커가 개발한 해킹 프로그램으로, 이 프로그램에 특정 아이디와 비밀번호를 입력할 경우, 해당 아이디와 비밀번호로 가입된 각종 게임 사이트에 자동 로그인되어 해당 계정이 보유한 사이버머니를 특정 자금 세탁을 위한 아이디로 자동 취합하는 악성 해킹툴이다.

이에 대해 정보보안 전문업체인 케이티비솔루션 김태봉 대표는 "이 추출기를 제대로 분석해보진 않았지만, 이름과 정황으로 봐서는 크롤러(crawler)와 SQL 인젝션 기능이 가미된 로봇 툴일 가능성이 높다"며, "개인 사용자가 이런 유형의 공격을 막을 수 있는 방법은 전혀 없다"고 설명했다.

따라서 비밀번호를 주기적으로 변경하는 것만으로는 예방할 수 없고, 가입된 모든 웹사이트들의 비밀번호를 각기 다르게 설정해 두는 방법만이 피해를 최소화할 수 있는 예방책이 될 것이라고 경고했다.

그러나 김태봉 대표는 "개인 사용자들이 각 사이트마다 비밀번호를 다르게 한다는 건 사실상 거의 불가능하다"며, "휴대폰 본인 인증이나 카드 인증, OTP 인증, 지정된 단말기 이용, ARS를 통한 전화 인증 등과 같은 추가 인증이 막을 수 있는 방법 가운데 하나"라고 조언했다.

개인 사용자들은 우선 자신이 가입한 파일공유 사이트, 게임사이트, 영화예매 사이트, 휴대전화 벨소리 다운로드 사이트 등을 일일리 방문, 확인하는 수밖에 없다.

한편 해커들의 보안 윤리 문제가 불거지는 가운데, 김 대표는 "보안 전문가나 해커들을 대상으로 윤리 교육을 하는 것은 당연하지만, 실효성이 없다"며, "돈이 보이면 그것이 불법이라도 마음이 쏠리는 건 당연한 것이지만 이를 실행하지 않을 수 있는 현실적인 제도가 필요하다"고 말했다.

각종 취약점에 대해 정부나 해당 업체가 구매하는 등 바운티 헌터 제도의 양성화 등 해커 행위에 대한 실질적인 보상 장치를 마련되지 않는 한 이런 보안 사건들은 지속적으로 일어날 것으로 보인다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.