-피해자 가상화폐 거래소 계정 들어가 비트코인 가로채기도
[헤럴드경제=이현정 기자]알툴즈 회원 16만여 명의 개인정보를 유출한 뒤 수억 원 상당의 비트코인을 업체에게 요구한 조선족이 경찰에 붙잡혔다.
경찰청 사이버수사과는 조선족 조모(27) 씨를 공갈미수 등의 혐의로 구속했다고 10일 밝혔다.
경찰에 따르면 조 씨는 지난해 2월부터 9월 중순까지 이스트소프트의 알툴즈 회원 16만여 명의 계정에 몰래 접속해 2500만 건의 개인정보를 빼낸 뒤 이 가운데 일부를 업체 측에 제시하며 5억원 상당의 비트코인을 요구한 혐의를 받고 있다.
평소 가상화폐의 국가간 시세차액을 이용해 돈을 번 조 씨는 이스트소프트가 알툴즈 회원에게 제공하는 알패스 서비스에 회원들의 여러 웹사이트 아이디와 비밀번호가 저장되어 있다는 사실을 알게 됐다. 알툴즈 사용자가 알패스에 다른 웹사이트 아이디와 비밀번호를 등록해 놓으면 자동 로그인이 가능해 선호도 높은 것으로 알려졌다.
그는 이를 이용해 회원들의 가상화폐 거래소 아이디와 비밀번호를 입수하기로 맘먹고 한국인 A 씨를 섭외해 중국 청도의 한 아파트에 작업장을 차렸다. 그는 이미 시중에 떠도는 개인정보들을 취합한 후 알패스에 일일이 입력해 계정에 저장된 타 웹사이트 계정 정보를 빼냈다. 이후에는 자동적으로 아이디와 비밀번호를 입력해 개인 정보를 빼낼 수 있는 프로그램도 만들어 운영하기도 했다.
수개월 간 작업 끝에 이들은 알패스 회원 16만여 명이 등록한 타 웹사이트 아이디와 비밀번호 2500만여 건을 확보했다. 알패스에는 회원 1명당 타 웹사이트 계정 아이디와 비밀번호 정보가 약 150개여 씩 저장되어 있었던 것으로 조사됐다. 이들이 빼낸 정보에는 개인 클라우드 계정이나 가상화폐 거래소 계정 등도 포함돼 있었다. 특히 클라우드의 경우 개인 신분증이나 신용카드 사진 등 고도의 보안을 요하는 사진도 다수 있었던 것으로 파악됐다.
이들은 이같은 방식으로 빼낸 개인 정보를 빌미로 업체 측에 “비트코인 5억원을 주지 않으면 유출된 정보를 언론사 등에 넘기겠다”며 수십 차례에 걸쳐 협박했다.
이들은 또 클라우드 웹사이트에 회원들의 계정으로 접속한 뒤 주민등록증이나 신용카드 사진 등을 확보해 휴대전화을 개통하거나 서버를 구입하기도 했다. 또한 가상화폐 거래소에 회원의 계정으로 접속해 당시 시세로 현금 800만원에 해당하는 가상화폐 2.1 비트코인을 자신의 지갑으로 전송한 것으로 조사됐다.
이들은 개인인증 과정에서 SMS 인증문자가 이용자 휴대폰에 전송되지 않도록 해당 이동통신사의 스팸차단 서비스나 문자 착신전화 등을 통해 본인 인증강화 절차를 무력화한 것으로 나타났다. 구글 OTP 인증의 경우 이용자가 보관한 초기설정 코드를 도용해 자신의 휴대전화에 쌍둥이 OTP를 설정해 본인확인을 우회시켰다.
경찰은 이스트소프트ㆍ방송통신위원회ㆍ인터넷진흥원과 협력하여 유출된 정보를 통해 추가 피해가 발생하지 않도록 관련된 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청하는 한편 해외 체류 중인 한국인 공범에 대한 수사를 확대하고 있다.
경찰 관계자는 “인터넷 웹사이트 운영업체는 아이디와 비밀번호를 기계적으로 입력하는 공격에 대하여 탐지할 수 있도록 보안을 강화하고 이용자들은 신분증, 신용카드 등의 중요 정보가 촬영된 사진이 포털 웹사이트에 자동 저장되지 않도록 해야 한다“고 주의를 당부했다.
rene@heraldcorp.com
