'알패스' 사용자 16만명 아이디·비번 2천500만건 유출
경찰, 이스트소프트 협박 중국인 총책 구속…한국인 공범 추적 중
유출 정보로 대포폰 만들고 비트코인 지갑 털어…본인인증도 무력화
(서울=연합뉴스) 임기창 기자 = 이스트소프트에서 회원 개인정보를 대량 유출해 업체를 협박하며 돈을 요구한 피의자가 경찰에 붙잡혔다. 유출된 정보로 가상화폐 계좌가 털리는 등 2차 피해도 발생했다.
이스트소프트는 PC 보안프로그램 '알약', 파일 압축프로그램 '알집' 등 국내에서 널리 쓰이는 프로그램을 개발한 유력 업체여서 소프트웨어 업계 보안 문제에 미치는 파장이 작지 않을 전망이다.
경찰청 사이버안전국은 이스트소프트 개인정보 유출사건 총책인 중국인 조모(27)씨를 작년 말 검거해 정보통신망 이용촉진 및 정보보호에 관한 법률 위반 등 혐의로 구속하고, 한국인 공범 1명의 소재를 추적 중이라고 10일 밝혔다.
조씨 일당은 작년 2월9일부터 9월25일까지 이스트소프트의 '알툴즈' 회원 16만6천여명이 등록한 여러 사이트 아이디와 비밀번호 2천540만여건을 입수한 뒤 업체에 돈을 요구하며 협박한 혐의 등을 받고 있다.
이들은 이스트소프트가 '알툴즈' 회원에게 제공하는 아이디·비밀번호 통합관리 서비스 '알패스'를 노리고 범행을 계획한 것으로 드러났다.
알패스에 여러 사이트 아이디와 비밀번호를 저장해 두면 사이트에 접속할 때마다 자동으로 아이디·비밀번호가 입력된다. 조씨 등은 알패스에 아이디·비밀번호가 대량 보관됐다는 사실을 알고 범행 목표로 삼았다.
이들은 다른 경로로 유출된 아이디·비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 프로그램을 만들어 범행에 사용한 것으로 조사됐다.
특정 인터넷 프로토콜(IP)에서 기계적으로 접속이 계속 시도되면 이상 징후가 탐지돼야 하나 이스트소프트 측은 이를 포착하지 못한 것으로 알려졌다.
알패스에서 계정 정보를 유출한 조씨 일당은 그 가운데 일부를 이스트소프트 측에 제시한 뒤 전화와 이메일 등으로 67차례 연락해 "5억원어치 비트코인을 주지 않으면 유출한 정보를 언론사 등에 넘기겠다"고 협박했다.
이스트소프트 측은 이들의 요구에 응하지 않았고, 즉각 수사기관에 신고하면서 회원들에게도 이같은 사실을 알렸다.
유출된 아이디·비밀번호의 실제 소유자 일부는 주민등록증이나 신용카드, 온라인에서 사용하는 일회용 비밀번호(OTP) 초기설정 코드 등을 사진으로 보관하다 포털 드라이브 등에 자동 업로드되는 바람에 2차 피해를 봤다.
실제로 조씨 일당은 피해자 2명의 아이디와 비밀번호로 가상화폐 거래소에 접속, 범행 당시 시세로 800만원에 해당하는 2.1비트코인을 자신들의 지갑으로 전송해 가로챈 것으로 확인됐다.
또 다른 피해자는 온라인 거래 편의 등을 위해 촬영해 둔 신분증과 신용카드 사진이 유출돼 자신 명의로 대포폰과 서버 개설이 이뤄지기도 했다.
조씨 일당은 부정한 온라인 거래를 막고자 각 사이트에서 운용하는 본인인증 절차까지 무력화한 것으로 드러났다.
이들은 일부 사용자의 이동통신사 홈페이지 아이디와 비밀번호를 확보한 뒤 본인인증 문자메시지를 스팸 처리하거나 문자 착신서비스를 설정해 확인 메시지가 실제 사용자 휴대전화로 전송되지 않도록 차단했다.
일부 사용자는 단말기 분실 등에 대비해 '구글 OTP'의 초기설정 코드를 촬영, 다른 사이트에 보관했다가 아이디·비밀번호 유출과 함께 사진이 조씨 일당 손에 넘어가 2차 피해를 보기도 했다.
경찰 관계자는 "아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지하도록 보안을 강화하라고 웹사이트 운영업체에 권고했다"며 "신분증, 신용카드 등 중요정보가 촬영된 사진이 포털에 자동 저장되지 않도록 주의해야 한다"고 말했다.
pulse@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스