숙박업체 예약 애플리케이션(앱) ‘여기어때’를 해킹해 개인정보를 빼낸 뒤 금품을 요구한 일당이 경찰에 붙잡혔다.
경찰청 사이버수사과는 해커를 고용해 여기어때 전산망에 침입, 개인정보를 빼내고 업체 측에 금품을 요구한 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반·공갈미수)로 이모(47)씨 등 4명을 구속했다고 1일 밝혔다. 경찰은 현재 외국으로 도피한 공범 A씨의 소재도 추적하고 있다.
이씨 등은 올 3월 6∼17일 여기어때 홈페이지를 해킹해 이용자 99만명의 숙박 예약정보와 회원정보, 가맹점 정보 등 개인정보 341만건을 빼낸 뒤 여기어때 측에 금품을 요구하며 협박한 혐의를 받는다. 범행을 계획한 이씨와 A씨는 박모(34)씨와 조모(31)씨를 통해 국내에 체류하던 중국동포 해커 남모(26)씨를 소개받고 해킹을 의뢰했다. 남씨는 돈을 받아 청부 해킹을 하는 중국인 해커집단 소속인 것으로 조사 결과 드러났다. 남씨는 데이터베이스(DB) 접근 페이지의 보안상 취약점을 이용한 ‘SQL 인젝션(injection)’, 관리자 권한을 가로채는 ‘세션 하이재킹’(session hijacking) 등 흔히 알려진 해킹 수법을 사용한 것으로 확인됐다.
이씨와 A씨는 남씨가 해킹한 개인정보를 넘겨받고 여기어때 측에 해킹 사실을 알려 가상화폐인 비트코인으로 6억원을 요구했다. 이들은 가상의 보안업체를 사칭해 여기어때 측에 19차례의 이메일을 보냈고 고객센터 게시판에 글을 올려 “보안점검을 맡겨 놓고 왜 대가를 지급하지 않느냐”며 금품을 요구한 것으로 드러났다. 여기어때 측이 이에 응하지 않자 이들은 해킹으로 확보한 개인정보를 토대로 이용자 4,600여명에게 3차례 문자메시지 4,713건을 보냈다. 일부 이용자는 자신이 묵은 업소에 관한 언급과 함께 성적 수치심을 유발하는 메시지를 받기도 했다. 이어 사회관계망서비스(SNS)에 따로 계정을 만들어 유출 개인정보 5,000건을 올리고 여기어때 측에 해당 계정 주소를 보내기도 했다. 경찰에 따르면 여기어때 측은 이들의 금품 요구에 응하지 않았다.
경찰은 해커 남씨를 포함, A씨를 제외한 일당 4명을 차례로 검거했다. 유출된 개인정보 원본 파일을 모두 압수한 상태다. 개인정보가 제3자에게 제공된 흔적은 발견되지 않았다고 경찰은 말했다. 다만 현재 도피 중인 공범 A씨가 남씨로부터 파일을 넘겨받아 사본을 소지한 상태이기 때문에 추가 유출 우려가 있어 검거에 주력하고 있다. 또 해커 남씨의 PC에서 여기어때 뿐 아니라 다른 홈페이지 해킹을 통해 얻은 개인정보 파일이 다수 발견돼 추가 수사를 검토하고 있다.
경찰 관계자는 “외국에 체류 중인 A씨를 조속히 체포해 개인정보 파일을 회수하고, 유출된 정보가 전화금융사기(보이스피싱) 조직 등에 흘러들어가 2차 피해가 발생할 가능성을 차단하겠다”고 밝혔다.
/김민제 인턴기자 summerbreeze@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >