그룹 방탄소년단(BTS) 정국과 대기업 회장 등 국내 재력가의 개인 정보를 해킹해 알뜰폰을 무단으로 개통하고 자금을 빼돌린 국제해킹조직이 경찰에 붙잡혔다.
서울경찰청은 2023년 7월부터 올해 4월까지 피해자 16명에게서 390억 원을 가로챈 중국 국적의 조선족 총책 A씨(35)와 B씨(40)를 포함한 조직원 18명을 검거했다고 28일 밝혔다. 경찰은 총책 A씨(35)를 구속 송치하고 태국에서 체포된 또 다른 총책 B씨(40)의 송환 절차를 진행 중이다.
군 입대·구속 확정된 한국 재력가 노려
경찰에 따르면 일당들은 국내 연예인이나 재력가의 개인정보를 이용해 알뜰폰을 부정 개통한 뒤, 피해자의 금융계좌와 가상자산 거래소 계정에 침입해 자금을 빼돌린 혐의를 받는다. 피해자 가운데는 100대 그룹 소속 인사 22명과 방탄소년단(BTS) 정국을 포함한 연예인 12명이 포함됐다. 조직은 군 입대나 교정시설 수감 등의 사유로 알뜰폰 개통 알림을 확인할 수 없는 이들을 주 타깃으로 삼았다.
알뜰폰 무단 개통·비대면 본인 인증 우회…"체계적 범행"
경찰 조사에 따르면 일당은 정부·공공기관, 금융공동관리기관, IT 플랫폼 업체 등 22곳을 해킹해 이름, 신분증, 운전면허, 계좌번호, 금융자산 내역 등 민감한 정보를 빼냈다. 이렇게 확보한 정보를 토대로 알뜰폰 118개 유심을 피해자 명의로 무단 개통했다.이들은 알뜰폰 무단 개통 과정에서 위조된 신분증을 활용해 '제3자 간편 인증'을 이용했다. 국내 온라인 서비스에서 비대면 본인 인증이 활성화돼있다는 점을 악용한 것이다. 수년간 이같은 비대면 인증 서비스를 제공하는 웹사이트를 해킹해 개인·금융·인증 정보를 해킹해 데이터베이스를 구축했다.
이렇게 확보한 본인인증 수단을 통해 신규 계좌를 개설하고 OTP를 무단 발급받아 이체 한도를 높인 뒤 가상자산 거래소 계정에 침투해 피해자의 자금을 가로챘다.범행으로 실제 편취된 피해액은 390억 원, 시도했으나 미수에 그친 금액은 250억 원에 달한다.
조직은 탈취한 현금과 가상자산을 국내 ‘행동책’을 통해 가상자산으로 전환해 세탁했다. 경찰은 총 18명을 검거해 이 가운데 3명을 구속 송치하고 11명을 불구속 송치했으며, 나머지 3명은 수사 중이다. 적용된 혐의는 사기, 정보통신망침해, 주민등록증부정사용, 공문서위조·행사 등 11개에 이른다.
경찰, "사이버 수사와 국제 공조"로 조직원 전원 검거 완료
경찰은 압수한 전자기기 분석으로 조직망을 차단하고, 금융기관과 공조해 이상거래탐지·출금 차단 등을 통해 피해자 213억 원을 환급했다. 아울러 알뜰폰 사업자에 대해 최고정보보호책임자(CISO) 지정과 보안인증제 의무화를 관계 부처에 요청했다.서울경찰청 관계자는 "이번 사건은 온라인 본인 인증체계 신뢰를 흔든 대표 사례"라며 "국민들은 OTP·보안카드 등 다중 인증수단을 활용하고 개인정보 관리에 각별히 주의해야 한다"고 당부했다.
김유진 기자 magiclamp@hankyung.com
관련뉴스
