미국에서 4100만여 명의 개인 신용정보가 도난당한 사상 최대 규모의 해킹 범죄가 적발됐다고 뉴욕 타임스(NYT)와 워싱턴 포스트(WP) 등이 6일 보도했다. 해킹당한 사이트는 유명 서점인 반스앤드 노블을 비롯해 오피스맥스, 생활용품 할인점 TJ맥스, 스포츠 오소리티, BJ’s 홀세일클럽 등 유통회사 9곳 이상이다. 기소된 11명의 해킹 용의자들은 미국인 3명, 우크라이나인 3명 , 중국인 2명 등으로 구성된 국제적인 조직이다. 에스토니아와 벨로루시인도 한 명씩 포함돼 있었다. 미국 외에 터키와 독일 등 다른 국가에 숨어 있던 용의자들도 각국 정부의 도움으로 체포됐다.
마이클 뮤케이지 법무장관은 5일(현지시간) 보스턴에서 기자회견을 열고 “이번 사건은 미국 역사상 가장 복잡하고 규모가 큰 해킹 사건”이라며 “이들이 초래한 은행·유통업계·소비자들의 피해는 상상을 초월할 정도”라고 말했다. 피해자들은 대부분 미국인인 것으로 추정됐지만, 검찰과 법무부는 아직 피해자 명단 전부를 확인하지 못했다. 전체 피해 액수도 아직 파악되지 않았지만 최소한 수천만 달러에 달할 것으로 추산됐다.
용의자들은 ‘워드라이빙(wardriving)’이란 수법을 이용했다. 사무실과 쇼핑센터 근처를 차에 타고 배회하면서 노트북에 잡히는 회사의 무선랜 네트워크를 해킹한 것이다. 해킹한 회사의 네트워크에는 해외 공범들이 보내준 ‘스니퍼’ 프로그램을 깔았다. 이 스니퍼 프로그램은 네트워크상에 저장된 신용카드와 선불카드 번호, 비밀번호 등 개인 정보들을 빼주는 프로그램이다. 빼낸 개인정보는 미국과 라트비아·우크라이나에 있는 개인 서버에 옮겨 저장했다.
이들은 대부분의 개인 정보를 온라인으로 암시장에서 팔았고, 빼낸 정보를 빈 카드에 복제해 직접 현금 지급기에서 돈을 빼내기도 했다고 법무부는 밝혔다. 2003년 시작된 이들의 범죄는 2007월 2월 TJ맥스를 운영하는 TJ엑스사가 4000만 명 이상의 신용카드·선불카드 정보를 해킹당했다고 공개하면서 수면 위로 떠올랐다. TJ엑스사는 신용카드사 등에 피해 보상 합의 비용으로 1억3000만 달러를 건네야 했다.
이번 수사에는 3년 전 사건의 꼬리를 잡고 그동안 잠입 수사를 해왔던 미국 비밀경호대(USSS)를 비롯해 법무부와 매사추세츠주·캘리포니아주·뉴욕주의 검찰이 동원됐다고 법무부 측은 밝혔다. 사상 처음으로 컴퓨터 시스템에 대한 도청과 감시도 이뤄졌다.
최지영 기자·김민경 인턴기자
