국내최초 銀 '피싱 사이트' 해커는 고교생

국내 최초로 은행 홈페이지를 가장한 `피싱 사이트'(Phishing)를 만들어 해킹을 통해 다른 사람의 개인정보를 빼낸 범인은 고교생인 것으로 밝혀졌다.

경찰청 사이버테러대응센터는 모 은행 가짜 사이트를 만든 뒤 해킹 프로그램과연결시켜 네티즌들의 컴퓨터를 해킹, 게임 이용자들의 개인정보를 빼낸 혐의(정보통신망이용촉진 및 정보보호 등에 관한 법률 위반)로 김모(17.고2)군을 붙잡아 조사중이라고 13일 밝혔다.

경찰에 따르면 김 군은 지난 2월 모 은행 홈페이지로 위장한 가짜 은행 사이트를 만들어 해킹 프로그램과 연결시킨 뒤 "실명인증 프로그램을 설치해야 한다"고 속여 해킹 프로그램을 내려받도록 하는 수법으로 인터넷 게임 이용자들의 컴퓨터를 해킹해 77명의 개인정보를 빼낸 혐의를 받고 있다.

김 군은 이렇게 빼낸 개인정보로 게임 사이트에 접속해 다른 사람들의 게임 사이버머니와 아이템을 팔아 90여만원을 챙긴 것으로 드러났다.

김 군은 1학년인 지난해 반장을 맡은 데 이어 올해도 부반장을 맡는 등 학교 활동에 적극적인 모범생이었으나 인터넷 게임에 중독돼 별다른 죄의식 없이 범행했다고 경찰은 말했다.

그는 "해킹으로 알아낸 게임 이용자들의 개인정보를 이용해 게임 아이템을 팔면쉽게 용돈을 벌 수 있을 것으로 생각했다"고 진술했다고 경찰은 전했다.

김 군은 해킹 전용프로그램을 이용할 경우 백신에 탐지돼 범행이 쉽게 노출될것을 감안, 원격 관리용 상용제품을 은행에서 배포하는 실명인증 프로그램으로 위장시켜 배포한 것으로 밝혀졌다.

일단 해킹에 성공하면 피해자 컴퓨터의 백신 프로그램을 강제로 종료시킨 뒤 해킹 전용프로그램을 다시 설치해 개인정보를 빼내는 지능적인 수법을 썼다고 경찰은 전했다.

공인인증서를 이용하는 국내 은행의 인터넷뱅킹은 기존 피싱 범죄로부터 비교적안전한 것으로 인식돼 왔으나 이번 사건의 경우 피싱과 해킹이 결합돼 피해자 컴퓨터의 해킹 프로그램을 통해 거의 모든 금융거래정보가 유출될 수 있는 것으로 확인됐다고 경찰은 설명했다.

금융감독원은 지난 2일 김 군이 만든 피싱 사이트를 통해 개인정보가 유출된 사실이 안철수연구소에 의해 확인되자 `피싱 사기 사이트' 주의보를 내린 바 있다.

`피싱'은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 정상 웹서버를해킹해 위장 사이트를 만든 뒤 네티즌들이 프로그램을 내려받도록 하거나 e-메일을보내는 등 수법으로 개인정보를 빼내 범죄에 악용하는 행위를 말한다.

(서울=연합뉴스) 공병설 기자