20대 대학생 해커가 해킹 실력을 과시하기 위해 국내·외 100여개 웹사이트를 무차별 해킹하다가 경찰에 붙잡혔다.
서울지방경찰청 사이버수사대는 국내의 한 대학 사이버보안과에 재학중인 장모(20)씨를 정보통신망촉진및정보보호등에관한법률 위반 혐의로 불구속 입건했다고 6일 밝혔다. 장씨는 지난해 11월부터 올해 8월까지 국내·외 인터넷 쇼핑몰과 대학, 병원 등 24개국 104개 웹사이트를 해킹해 28만건의 각종 정보를 수집한 뒤 이 가운데 1만3000여 건의 개인정보를 인터넷 등에 유포한 혐의를 받고 있다.
경찰에 따르면 장씨는 페이스북과 트위터, 페이팔 등 해외 SNS 회원 계정 정보는 물론 북한 웹사이트 가입자 정보, 국내·외 정부기관 소속자의 정보까지 무차별적으로 수집했다. 이렇게 수집한 정보는 해외 클라우드에 저장 해놓거나 자신의 블로그 등에 게시했다. 또 범행 과정을 촬영한 동영상과 피해 웹사이트에 남긴 흔적 등을 유튜브나 해외 해킹포럼 등에 올리기도 했다. 해킹포럼은 각국의 해커들이 서로의 정보를 공유하는 일종의 인터넷 커뮤니티다.
장씨는 이 과정에서 해킹 수법 게시로 인해 블로그의 방문자 수가 늘어나자 블로그에 배너광고가 붙어 수익을 얻기도 했다. 또 불법 취득한 정보를 이용해 이메일을 무단 열람하거나 다른 웹사이트에 회원 가입을 하고 신용카드 정보로는 해외 결제까지 시도했다. 장씨의 무차별적인 해킹으로 국내 일부 사이트는 개인정보 유출 피해로 사이트를 폐쇄했고 상당수의 사이트에서 비밀번호 등이 그대로 노출되는 피해가 발생했다.
장씨는 주로 보안이 취약한 국내 중소형 사이트와 추적이 어려운 해외 사이트를 해킹 대상으로 삼았다. 해당 사이트들은 대부분 비밀번호 등을 암호화해 보관하는 프로그램이 없어 고전적인 해킹 수법에도 쉽게 보안이 뚫린 것으로 드러났다.
국내 한 대학 사이버보안과에 재학 중인 장씨는 주로 해외 아랍권 사이트에서 해킹 방법을 습득해 범행을 저질렀다. 장씨는 경찰 조사에서 ”내 실력을 해커들 사이에 과시하기 위해 범행을 저질렀다“고 밝혔다. 경찰 관계자는 ”웹사이트에 가입할 때 각각 다른 비밀번호를 등록해서 개인정보 유출 시 피해를 최소화해야 하는 등 네티즌들의 주의가 요구된다“고 말했다. 경찰은 해킹을 당한 국내·외 웹사이트 운영자에게 이번 해킹 피해 사실을 전달하고 또 다른 피해가 발생하지 않도록 보안에 신경쓸 것을 당부했다.
고석승 기자 gokoh@joongang.co.kr
