서울지방경찰청 사이버범죄수사대는 홈플러스 모바일 상품권 발행 대행업체 A사의 전산시스템에 침입해 상품권 정보를 빼낸 혐의(정보통신망법위반 등)로 조모(26·귀화 중국인)씨 등 중국 해커조직원 3명을 지명수배했다고 2일 밝혔다.
아울러 경찰은 해킹으로 유출된 상품권 판매대금 인출책 3명을 붙잡아 장모(46·여·중국)씨를 구속하고 이모(17·중국)씨 등 2명은 불구속 입건했다.
조씨 등 해커조직원 3명은 작년 12월 말∼올해 1월 초 A사의 홈플러스 상품권 발송 서버에 침입, 상품권 번호와 고유식별번호(PIN) 89만건을 빼내 국내에서 판매하거나 종이상품권으로 교환해 유통한 혐의를 받고 있다.
이들이 해킹으로 탈취한 상품권은 애초 금액이 590억원가량으로, 일부가 이미 사용됐음을 고려해도 남은 금액이 11억원에 달했다.
이들은 잔액이 있는 상품권 가운데 950여건(1억1000만원 상당)을 국내 상품권 업자들에게 액면가보다 20∼25% 할인된 가격으로 팔아넘기거나 판매대금 인출책들에게 수고비로 지급한 것으로 조사됐다.
해커조직은 작년 11월 A사의 주 서버를 한 차례 해킹하는 과정에서 여러 서버 가운데 홈플러스 상품권 발송용 서버가 보안에 매우 취약한 사실을 확인하고 범행 대상으로 삼은 것으로 드러났다.
경찰 관계자는 “해당 서버의 보안시스템은 자체 방화벽이 없을 정도로 허술했고, 상품권 발송 데이터베이스에는 상품권 정보가 암호화하지 않은 상태로 저장돼 일련번호와 PIN이 그대로 노출됐다”고 말했다.
A사는 홈플러스 상품권 관련 사업을 시작하면서 서둘러 서버를 갖추다 보니 보안시스템 구축에 제대로 신경쓰지 않은 것으로 보인다고 경찰은 덧붙였다.
이번 사건으로 모바일 상품권이 사용하기 간편하다는 장점이 있는 반면 정보유출 피해 차단에는 크게 취약하다는 사실이 확인됐다.
모바일 상품권은 일련번호와 PIN만 알면 간편하게 사용하거나 남에게 양도할 수 있다. 그러나 상품권 정보가 유출돼도 고객이 실제 잔액을 조회하기 전에는 피해가 있는지조차 알 수 없어 해커들이 상품권을 유통할 시간 여유가 충분했다.
경찰 관계자는 “일련번호와 PIN만으로 상품권을 무단 사용하는 것을 막으려면 바코드 등 상품권 증표를 제시하게 하고, 상품권이 사용되면 구매자에게 문자메시지로 내역이 전송되게 하는 등 규정을 마련할 필요가 있다”고 말했다.
아울러 경찰은 해커조직에 대포통장과 대포폰을 공급하거나 대포폰 개통에 이름을 빌려준 혐의(사기)로 25명을 붙잡아 방모(27)씨를 구속하고 김모(29)씨 등 24명을 불구속 입건했다.
onlinenews@heraldcorp.com
