스팸 괴물 '김하나'는 둘이었다
  • 김현수(자유기고가) ()
  • 승인 2007.02.12 11:58
이 기사를 공유합니다

공범과 함께 붙잡혀...신종 기법 피싱 사이트 운영하다 '덜미'

 
스팸 여왕’ ‘스팸 지존’ 김하나가 잡혔다. 놀라운 것은 김하나가 남자였다는 사실. 그동안 김하나는 그 이름 때문에 여자로 추측되어왔다. 베일에 가려졌던 김하나의 실체는 대구 소재 방위산업체에서 산업 근무요원으로 일하는 21살의 박 아무개씨였다.
김하나가 세상에 알려진 때는 2003년으로 거슬러 올라간다. 당시 인터넷 공해가 큰 사회 문제가 되던 시기였다. 성인 사이트, 대출 등 스팸 메일이 대규모로 발송되어 사회적 문제가 되던 상황이었다. 그런데 스팸 메일 가운데 거의 대부분은 한 사람에 의해서 보내졌다. 그 이름이 바로 ‘김하나’다. 김하나는 그때부터 ‘스팸 여왕’으로 불리기 시작했다. 김하나와 관련된 각종 추측이 난무하고 김하나를 찬양하는 네티즌까지 등장했다.


사이버수사대의 체포 과정, 첩보전 방불


김하나로 밝혀진 박씨는 한창 스팸 메일을 보낼 때 고등학교 2학년에 재학 중이었다. 컴퓨터광인 박씨는 프로그램 언어 중 델파이를 이용한 대량 메일 발송 프로그램을 개발할 정도로 재능과 기술이 뛰어났다. 처음 개발한 메일 발송 프로그램은 3명에게 40만원씩 받고 팔려나갔다. 단번에 1백20만원을 번 것이다.
박씨가 개발한 대량 메일 발송기는 인증 과정을 거칠 별도의 장치가 없었다. 마음만 먹으면 누구든지 복사해서 사용할 수 있었다.
더구나 공유 사이트인 P2P 사이트에 이 프로그램이 무료로 공개되면서 영세한 기업과 업자들은 너도나도 이 프로그램을 사용했다. 걷잡을 수 없이 메일 발송기가 확산되고 얼마 후 인터넷과 언론에 김하나라는 이름이 화제가 되었다. 박씨는 수사망이 좁혀오자 겁을 먹고 숨어버렸다. 박씨는 고교 졸업 때까지 발송 프로그램을 제작하지 않았다. 이후 김하나는 대중의 아련한 기억 속으로 사라지는 듯했다.
그러다 지난 1월30일 김하나를 검거했다는 경찰의 발표가 나왔다. 꼬리가 길면 잡힌다고 했던가. 김하나의 범죄가 점점 대담해지면서 경찰의 추적을 피하지 못했다. 경찰청 사이버테러대응센터에서 밝힌 김하나의 체포 과정은 숨막히는 첩보전을 방불케 했다. 그 내막을 들여다보면 여러 가지 흥미로운 점이 발견된다. 스팸 메일의 지존으로 통하던 김하나가 피싱 사이트를 수사하는 경찰의 수사망에 걸려든 것이다. 붕어를 잡으려고 쳐놓은 그물에 잉어가 걸린 꼴이다.

 
지난해 11월26일에 발생한 국민은행 사칭 ‘KB카드 고객님 신용대출 한도가 상향되었습니다’라는 제목의 피싱 메일이 사건 해결의 단초가 되었다. 피싱이란 금융기관 등으로부터 인증 번호나 신용카드 번호, 계좌 정보 같은 개인 정보를 불법 수집해 이용하는 사기 수법이다.
경찰에 걸려든 김하나의 피싱 수법은 기존의 방식과는 달랐다고 한다.
일명 ‘한국형 봇넷’이라는 신종 기법이 동원되었다는 것이다. 다음 등 포털 사이트의 강력한 스팸 메일 필터링 정책 때문에 기존의 스팸 메일 발송기가 통하지 않았기 때문이다. 한국형 봇넷은 과거의 기술에서 한 단계 업그레이드된 신기술로 개인 PC가 아닌 고성능 상용 시스템으로 구성되었다는 것이 특징이다. ‘스팸 메일 고속 전송을 위한 전용 비밀 네트워크’인 셈이다. 한국형 봇넷의 위험성은 매우 컸다. 피해 시스템들이 고속 회선에 연결된 고성능 서버이기 때문에 단순히 스팸 메일의 경유지로 악용되는 것이 아니라 서비스 거부(DoS) 공격이나 웜 바이러스 같은 악성 프로그램 유포를 위한 숙주 컴퓨터로 악용될 수 있기 때문이다.
 
경찰은 긴장했다. 이번 피싱 수법이 자체 인터넷을 통해 알려지면 현재 발송량에서 세계 3위인 스팸 발송 국가의 불명예를 고스란히 뒤집어써야 할 판국이었다. 경우에 따라서는 ‘스팸 대란’으로 확대될 수 있을 정도로 심각한 사안이기도 했다. 사안의 심각성만큼 경찰청은 사이버테러대응센터 수사3팀(정석화 팀장)에 이 사건을 전담시켰다.
수사팀은 사람의 주민등록 번호와 같다고 볼 수 있는 컴퓨터의 고유 IP를 끝까지 추적했다. 결국 수사팀은 범인이 개인 정보 수집을 목적으로 해킹한 사이트들의 서버를 찾아냈다. 이 사이트에는 범인이 정보를 받기 위해 남겨놓은 자신의 e메일 계정이 남아 있었다. 하지만 범인은 치밀했다. 혹시라도 경찰의 추적을 따돌리기 위해 e메일 주소를 교묘한 방식으로 암호화해놓은 상태였다.
경찰은 대략 5일을 소모해 암호를 풀고 범인의 메일 주소를 찾아냈다. 메일 사용자는 대구에서 방위산업체에 다니는 권 아무개씨(28)였다. 권씨는 체포된 이후 끝까지 기억이 잘 나지 않는다며 발뺌을 했다. 확보한 e메일도 자신은 사용한 적이 없다고 잡아뗐다.
경찰도 난감했다. 별도로 IP 추적을 통해 범인이 대구의 한 아파트에 살고 있다는 사실을 알아냈지만 그 아파트가 권씨의 주민등록 등본상의 주소와는 달랐기 때문이었다. 하지만 경찰은 대구에 내려가 3일간 잠복 확인 끝에 권씨가 동거녀와 살림을 차리기 위해 얼마 전에 이사한 사실까지 포착했다. 하지만 이것이 영장 실질 심사에서 제동이 걸리지 않고 구속시킬 수 있을 만큼 충분한 증거는 되지 못했다. 경찰은 압수한 권씨의 하드디스크에서 삭제된 원본 증거물을 실질 심사 3시간을 남겨놓고 가까스로 찾아냈다. 권씨는 결국 자신의 공범이 같은 회사에 근무하는 프로그래머 박씨라는 사실을 털어놓았다. 이 과정에서 박씨가 과거에 ‘김하나’로 불리던 스팸 지존이었다는 사실도 밝혀졌다. 경찰은 체포될 것을 두려워한 나머지 변호사를 만나러 서울에 올라온 박씨를 서초동에서 검거했다.


“둘이서 함께 3백18개 홈페이지 해킹”


경찰 사이버수사대 관계자는 “권씨와 박씨는 한마디로 환상의 콤비를 이루어냈다. 박씨는 분산형 스팸 메일 발송 프로그램을 개발했고 권씨는 스팸 릴레이 서버에 심어놓을 ‘PHP’ 파일을 만들었다. 해킹은 둘이서 함께 했고 무려 공공기관 세 군데를 포함해 3백18개의 홈페이지가 이들에게 해킹되었다”라고 밝혔다.
두 사람은 지난해 9월부터 12월까지 약 4개월 동안 100여 회에 걸쳐 16억 통의 스팸 메일을 발송했다. 그 결과 획득된 1만2천 건의 개인 정보는 대출업자에게 1억원을 주고 팔아넘겼다. 권씨와 박씨는 이 돈을 둘이서 반반씩 나누어 가졌다.
여기서 한 가지 놀라운 점은 대출업자 장모씨가 권씨에게 돈을 입금할 때 현금카드를 택배로 보내주고 ATM 계좌로 돈을 입금해주는 방식을 이용해 자신을 철저히 숨겼다는 것이다. 또 장씨는 타인 명의의 은행 계좌를 열고, 휴대전화는 대포폰을 사용했다. 이 때문에 경찰의 수사망을 피할 수 있었다.
피의자들은 경찰 조사에서 “최근 용돈이 궁해져서 이같은 일을 저지르게 되었다”라고 자백했다. 또 한편 이들은 “은행을 사칭한 피싱 방법을 이용했을 경우가 그냥 스팸 메일을 보냈을 때보다 50배나 높은 결과물을 얻을 수 있었다”라고 밝혔다.
경찰은 지난 1월30일 박씨와 권씨를 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 구속하고, 이들에게 1억원을 주고 개인 정보를 사들인 대출업자인 또 다른 박 아무개씨를 수배했다.  

이 기사에 댓글쓰기펼치기