신용·체크카드, 은행계좌번호, 주민등록번호, 휴대전화번호 등 1.5테라바이트(TB) 분량의 금융·개인 정보가 유출된 것으로 14일 나타났다.
서울지방경찰청 보안수사대는 하나은행 해킹 혐의로 지난해 6월 구속된 이모(42)씨의 추가 범행과 공범을 수사하는 과정에서 이씨가 국내 현금자동입출금기(ATM), 카드가맹점 포스단말기, 멤버십가맹점 등을 해킹해 빼낸 금융·개인 정보 1.5TB 분량의 외장하드를 확보했다.
은행 보안 관련 일을 했던 이씨는 2012년 국내 카드가맹점 수백 곳의 포스단말기에 카드 정보를 빼내는 악성코드를 심었다. 이 악성코드는 이메일로 유포돼 가맹점 사업주나 종업원들이 포스단말기에서 메일을 확인하는 순간 자동으로 깔렸다. 고객이 카드를 사용할 때마다 이씨가 설정해 놓은 메일로 카드 트랙 정보가 실시간으로 빠져나갔다. 이씨는 2014년 4월 경찰에 적발돼 복역하고 2016년 초 출소했지만 당시 악성코드를 심어놓은 포스단말기에서 지금도 정보가 빠져나가고 있다.
1.5TB는 카드 정보 기준으로 약 412억3,170만건이 들어가는 양이다. 최근 해외에서 불법 거래된 국내 신용카드 정보 90만건이 35킬로바이트(KB) 수준이었다는 점을 고려하면 엄청난 규모다.
멤버십가맹점 서버도 뚫렸다. 1.5TB 안엔 멤버십 회원번호와 주소, 휴대전화번호 등도 담겨 있다. 경찰은 서버 자체가 해킹된 것으로 보고 유출 경위를 확인하고 있다. 공범은 아직 검거되지 않은 것으로 알려졌다. 이씨와 해킹을 함께한 범인들이 1.5TB 분량의 금융·개인 정보를 갖고 있다면 토스 같은 간편결제 서비스와 도난 카드정보가 흔히 사용되는 게임사이트 등에서 악용할 수 있다.
이처럼 사상 최대 규모의 정보 유출 사건이 벌어졌지만 수사 당국과 금융 당국은 3개월 째 조사를 둘러싸고 갈등하고 있다. 경찰은 올해 3월 초 금감원에 관련 데이터를 넘기면 카드사별 분류와 소비자 피해 예방 조치를 해 달라고 요청했지만 금감원은 수사 당국이 압수물을 먼저 분석한 뒤 금감원에 데이터를 넘겨야 한다며 난색을 표했다. 경찰은 다시 3월 말 금융보안원에 카드사 관계자들을 불러 놓고 협조를 구했지만 카드사들도 어렵다는 입장을 보였다. 카드사 측은 “카드 정보 외에 다른 정보도 있고, 타사 개인 정보까지 담겨 있었다”며 “이런 것까지 보는 건 문제 될 소지가 있어 협조할 수 없었다”고 해명했다.
/한동훈기자 hooni@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
kcy@sedaily.com
