개인정보 담당자 형식적으로 지정…해킹피해조차 인지 못해

20대 해커 2명이 대한민국 전체 국민의 3분의 1을 웃도는 1천700만명의 개인정보를 털었다.

인천경찰청 사이버수사대는 국내 인터넷 사이트 225개를 해킹, 1천700만건의 개인정보를 취득해 판매한 혐의로 김모(21)씨와 최모(21)씨 등 2명을 구속하고 개인정보 구매업자, 해킹의뢰자 7명을 불구속 입건했다고 26일 밝혔다.

이들에게 해킹된 사이트는 도박 사이트가 대부분이지만 대한의사협회·대한치과의사협회·대한한의사협회 홈페이지 등 의료계 사이트도 대거 포함됐다.

이들이 해킹으로 탈취한 개인정보 규모는 의사협회 8만명, 치과의사협회 5만6천명, 한의사 2만명이다. 이 중에는 의사가 아닌 일반회원도 일부 있지만 회원 대부분은 의사라고 경찰은 설명했다.

유출된 개인정보는 아이디·비밀번호·주민등록번호·휴대전화번호·주소 등이다. 의사협회에서는 회원의 의사면허번호도 털렸고 한의사협회는 근무지·졸업학교 등의 정보도 유출됐다.

증권정보 사이트 ‘와우넷’과 부동산정보 사이트 ‘부동산114’도 이들에게 해킹당했다. 와우넷은 197만명의 회원 개인정보가, 부동산114는 151만명의 개인정보가 털렸다.

경찰은 이번에 해킹당한 협회·업체 대부분이 개인정보 책임자를 형식적으로 지정하고 보안관리를 외주업체에 맡긴 뒤 별 관심을 기울이지 않는 등 보안관리가 허술한 탓에 해킹에 취약했다고 지적했다. 일부 업체는 경찰이 통보하기 전까지 자사 사이트가 해킹당한 사실조차 인지하지 못했다.

경찰의 한 관계자는 “개인정보에 암호화 설정만 했어도 최소한 개인 주민등록번호 등이 유출되는 것은 막을 수 있었다”며 “자체 보안직원도 없이 개인정보 처리업무를 외주업체에 위탁해 관리하는 등 보안관리가 전반적으로 허술했다”고 밝혔다.

해킹을 주도한 김씨는 중·고교를 검정고시로 입학하고 대학에는 진학하지 않았으며 독학으로 해킹능력을 키워온 것으로 조사됐다. 그는 2012년 11월 ‘오늘의 유머’ 게시판에 악성코드를 유포 ‘좀비PC’ 10만대를 짧은 시간에 만들었다가 검거된 전력이 있다.

공범 최씨도 모 대학 정보보안학과 휴학 중으로 인터넷 카페 등에 악성코드를 유포하다 검거된 바 있다.

인터넷 게임 사이트에서 만나 친해진 이들은 고등학생 이모(18)군까지 끌어들인 뒤 해킹, 장부관리, 개인정보 판매책, 인출책 등 각자 역할을 분담해 조직적으로 범행을 저질렀다.

이들은 특정 사이트를 해킹해 개인정보를 넘겨달라는 의뢰를 받고 사이트 1개 당 50만∼200만원을 챙긴 것으로 조사됐다.

작년 9월부터 최근까지 225개 사이트를 해킹하고 개인정보를 판매해 1억원을 챙겼다. 때로는 도박사이트에서 승패를 조작하고 사이트 운영진에게 “각종 데이터를 삭제해 사이트를 폐쇄하겠다”고 협박, 2억6천만원을 챙기기도 했다.

이들의 근거지인 전북 익산 집 냉장고에서는 현금 5천만원이 발견되기도 했다.

경찰은 미검 상태인 신원 불상의 중국 거주 해커를 검거하기 위해 국제공조수사를 추진하는 한편 개인정보 유출 업체에 대해 개인정보 보호법 이행 여부 등을 철저히 조사해 법규 위반 사실이 드러나면 처벌할 계획이다.

연합뉴스