개인 카드 1억6000만개의 정보가 깜쪽같이 빠져나간 미국 역사상 최대 규모 ‘카드 해킹 사건’의 전말이 드러났다. 수 년 간 정보가 빠져나가고 피해액도 수 억 달러에 달했지만, 범행 수법이 치밀해 해커들을 기소하기까지 꼬박 7년이 걸렸다. 시티그룹과 PNC파이낸셜서비스그룹을 비롯, J.C. 페니와 세븐일레븐 등 금융기관과 유통업체가 피해를 입었으며 심지어 나스닥도 해킹 피해를 받았다.

25일(현지시간) 블룸버그통신 등 주요 외신에 따르면 미국 검찰은 1억6000만개의 카드 정보를 해킹한 4명의 러시아인과 1명의 우크라이나인을 기소했다. 폴 피셔맨 뉴저지주 검사는 “주요 기업들을 대상으로 한 전세계적 계획으로 1억6000만 개의 카드 번호가 탈취됐으며 이로인해 수 억 달러의 손실이 발생했다”며 “미국 역사상 가장 큰 규모의 해킹 사건이자, 정보 탈취 사건”이라고 밝혔다.

검찰은 역할분담까지 하며 조직적으로 활동한 5명의 동유럽 출신 해커들을 잡기 위해 마치 냉전시대 정보전쟁을 연상케 하는 추적작전을 폈다. 5명의 해커들은 ‘다수의 해킹 조직’을 운영하며 지난 2005년부터 지난해까지 7년 동안 신용카드 회사 등을 비롯한 대형 지불대행 회사들과 유통회사, 금융기관 등의 컴퓨터 네트워크에 침입해 악성 소프트웨어를 심고 사용자 이름과 암호, 신원확인 정보, 신용카드와 현금인출카드 번호 등을 해킹했다.

이 과정에서 시티그룹과 PNC파이낸셜서비스그룹, J.C. 페니, 세븐일레븐 등 수십개의 금융기관과 유통업체가 해킹 피해를 입었다. 이들 중 3개 피해기업의 손실만도 최소 3억 달러에 달하고 개인정보 유출로 인한 피해는 측정할 수 없는 수준인 것으로 알려졌다.

기소된 해커인 블라디미르 드링크만(32)과 알렉산드르 칼리닌(26)은 기업의 시스템 접근권한을 얻는 작업을 했고, 로만 코토프(32)는 데이터를 네트워크에서 빼내는 역할을 했다. 미하일 리티코프(26)는 익명의 웹호스팅 서비스를 제공했으며, 이를 이용해 해커들의 신분을 숨겼다. 또한 드미트리 스밀리아네츠(29)는 훔친 정보를 팔고, 일을 분배하는 역할을 하는 등 조직적으로 움직였다.

이들은 해킹한 미국 카드는 10달러에, 유럽 카드는 50달러에, 캐나다 카드는 15달러에 팔았다. 대량 구매를 하거나 재구매할 경우 이보다 할인된 가격으로도 넘겼다.

사법당국은 해커들이 수 개월간 채팅한 내용을 통해 특정 회사들을 목표로 해킹을 시도하려는 징후를 확보한 끝에 기소에 성공할 수 있었다. 뉴저지주 검찰은 “보안 절차를 우회하려는 노력이 진행될때까지 참고 기다린 끝에 조직원들을 일망타진할 수 있었다”고 전했다.

검찰은 현재 러시아 출신 해커인 드링크만과 스밀리아네츠 두 사람의 신변만 확보한 상태이며 나머지 조직원은 계속 추적중이다.

문영규 기자/ygmoon@heraldcorp.com