이름·주민번호·전화번호·이메일 167억건 DB…1억4천 수익 악성코드를 유포해 만여 대의 '좀비 PC'를 만들고 수십억 건의 개인정보를 불법 수집해 거액의 범죄 수익을 올린 해커들이 재판에 넘겨졌다.
서울동부지검 사이버수사부(김봉현 부장검사)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 최모(23) 씨와 강모(32) 씨, 김모(24) 씨를 구속 기소했다고 2일 밝혔다.
최 씨 등은 2016년부터 올해까지 약 4년 동안 직접 제작한 악성 프로그램을 네이버 블로그 등에 '윈도우 정품인증 프로그램' 또는 '게임·해킹 족보' 엑셀 파일로 위장·유포해 약 74억건의 개인정보를 불법 수집한 혐의다.
이들은 악성 프로그램을 이용해 관리자 권한을 탈취한 좀비 PC 1만2000대에서 빼낸 개인정보를 이름·주민번호·전화번호·이메일 등으로 나눠 '데이터베이스(DB)'화 한 것으로 드러났다.
해당 DB를 약 4년간 관리하며 수백억건의 다른 사람의 계정 정보를 불법으로 이용해 게임머니와 아이템 등을 탈취·판매해 총 1억4000여만 원의 수익을 올린 것으로 조사됐다.
DB에 저장된 건수만 167억건에 달했다. DB에 모은 개인정보 출처는 과거 유출된 넥슨, SK커뮤니케이션즈(네이트) 개인정보를 비롯해 XX드림, XX클럽, XX리조트 등 회원정보로 추정되는 개인정보도 포함된 것으로 전해졌다.
최 씨 등은 비밀번호가 변경됐더라도 사람들이 평소 사용하는 비밀번호 문자열은 변경하지 않고 특수문자만 주기적으로 바꾸는 습성을 이용, 사용이 빈번한 특수문자를 대입해 계정을 탈취한 것으로 밝혀졌다.
개인정보 DB에 모인 아이디와 비밀번호가 일치할 경우 손쉽게 게임머니 등을 빼돌릴 수 있었다는 게 검찰 측의 설명이다.
검찰 관계자는 "이들이 수집한 개인정보 DB는 국민 상당수 이상이 실제 검색될 정도로 광범위하고 정확성이 있다"며 "이들은 다른 사람의 PC를 마음대로 제어할 수 있다는 우월감을 느끼면서 불법수집한 개인정보를 공유했다"고 했다.
이어 "별다른 죄의식 없이 불법으로 수집한 개인정보를 판매하거나 이를 이용해 돈이 되는 것은 무엇이든지 해킹해 파는 등 해킹을 생업으로 삼고 있었다"며 "피해방지 및 보안강화를 위해 사용 중인 인터넷 계정의 비밀번호를 주기적으로 변경하는 등 세심한 주의가 필요하다"고 했다.
KPI뉴스 / 주영민 기자 cym@kpinews.kr
[ⓒ KPI뉴스. 무단전재-재배포 금지]
