경찰, 이스트소프트 알툴즈 해킹 협박범 검거

지난 9월 이스트소프트에서 회원 개인정보를 대량 유출해 업체를 협박하며 돈을 요구한 피의자가 경찰에 붙잡혔다. 이들은 유출한 개인정보를 가상화폐 거래소 부정접속, 대포폰 개설, 서버 임대 등에 활용했다. 경찰은 관련 웹사이트 사용자가 비밀번호를 바꾸고, 인터넷 웹사이트 운영업체에 비슷한 유형 공격을 탐지하는 보안을 강화할 것을 권고했다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

경찰청 사이버안전국은 이스트소프트 개인정보 유출사건 총책인 중국인 조모(27)씨를 작년 말 검거해 정보통신망 이용촉진 및 정보보호에 관한 법률 위반 등 혐의로 구속했다고 10일 밝혔다. 경찰은 한국인 공범 1명 소재를 추적 중이다.

조씨 일당은 지난해 2월9일부터 9월25일까지 이스트소프트 '알툴즈' 회원 16만6000여명이 등록한 여러 사이트 아이디와 비밀번호 2540만 여건을 입수했다. 이후 업체에 돈을 요구하며 협박한 혐의를 받고 있다.

이들은 이스트소프트가 '알툴즈' 회원에게 제공하는 아이디·비밀번호 통합관리 서비스 '알패스'를 노리고 범행을 계획했다. 알패스에 여러 사이트 아이디·비밀번호를 저장해 두면 사이트에 접속할 때마다 자동으로 아이디·비밀번호가 입력된다.

조씨 등은 알패스에 아이디·비밀번호가 대량 보관됐다는 사실을 알고 범행 목표로 삼았다. 이들은 다른 경로로 유출된 아이디·비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 프로그램을 만들어 범행에 사용했다.

경찰은 '시스템 해킹'이 아닌 '계정 해킹'에 의해 정보가 유출됐다고 판단했다. 아이디·비밀번호 조합을 기계적으로 입력하는 전용 소프트웨어(SW)를 제작했다. 장기간에 걸쳐 알툴즈 서버에 기계적으로 아이디·비밀번호를 입력해 유효 아이디·비밀번호를 대량 유출했다. 전자 우편·전화·SMS문자·개인정보 게시 등 방법으로 이스트소프트를 협박해 5억원 상당 비트코인을 요구했다. 이스트소프트는 지난 9월 협박에 응하지 않고 경찰에 신고했다.

유출한 개인정보를 2차 범죄에 활용했다. 유출된 16만명 2500만건 각 개인정보는 웹사이트에 접속하기 위한 아이디·비밀번호다. 경찰은 피해자 1인당 평균 150여건 접속계정이 탈취당했다고 봤다. 다른 웹사이트 피해자 계정에 또 다시 접속해 대포폰 개설, 서버 임대 등에 활용했다. 피해자 가상화폐 거래소 계정에 부정 접속해 비트코인을 절취하기도 했다.

본인 인증강화 절차를 무력화했다. SMS 인증문자가 이용자 휴대폰에 전송되지 않도록 해당 이동통신사 스팸차단 서비스, 문자 착신전화 등 수법을 사용했다. 구글 OTP 인증은 이용자가 보관한 초기설정 코드를 도용해 자신의 휴대전화에 쌍둥이 OTP를 설정해 본인확인을 우회했다.

이스트소프트는 지난 9월 유틸리티 소프트웨어 알툴즈(ALTools) 브랜드 사이트 가입자를 대상으로 개인정보 침해 사고가 발생해 수사기관과 공조해 대응 중이라고 밝힌 바 있다.

경찰은 추가 피해가 발생하지 않도록 관련된 웹사이트에 유출회원 비밀번호를 바꾸도록 요청했다. 인터넷 웹사이트 운영업체에게 아이디와 비밀번호를 기계적으로 입력하는 공격에 대해 탐지하도록 보안을 강화할 것을 권고했다. 이용자는 유사 피해 예방을 위해 신분증·신용카드 등 중요 정보가 촬영된 사진이 포털 웹사이트에 자동 저장되지 않도록 스마트폰 사용에 주의를 당부했다.

변상근기자 sgbyun@etnews.com

위방향 화살표