애플의 국내 공인 서비스센터 직원들이 아이폰의 기기 정보 수십만 건을 중국 밀매상에게 불법으로 유출한 정황이 포착됐다. 애플코리아는 유베이스·동부대우전자서비스 등 국내 업체 6곳과 위탁계약을 맺고 있는데, 이 업체에 소속된 상당수 직원들이 부정행위에 조직적으로 가담한 사실이 시사저널 취재를 통해 드러났다. 중국 밀매상들은 이렇게 넘겨받은 기기 정보를 이용해 가짜 아이폰을 만들었고, 해당 제품을 미국 본토에서 새 제품(리퍼폰)으로 교환받는 방식으로 부당이득을 챙긴 것으로 알려졌다.
기기 정보 유출에 직접 가담했었다는 A씨는 “애플의 수리업체 직원들이 브로커에게 기기 정보를 팔아넘겼고 이렇게 흘러간 정보만 약 수십만 건에 이른다”며 “한 업체나, 한 명의 직원이 아닌 여러 개의 센터와 직원들이 관여한 조직적인 범죄다”라고 그간의 비위 행위를 털어놨다.
애플은 각 제품마다 일련번호(시리얼 넘버)를 부여한다. 일련번호는 제품을 식별하기 위해 제품 순서에 따라 부여된 고유의 숫자다. 이 번호를 조회하면 해당 제품의 개통일자부터 통신사, 보증기간, 국가, 모델 등의 정보를 알 수 있다. 일종의 ‘스마트 기기 주민등록번호’인 셈이다. 이에 애플은 일련번호를 조회할 수 있는 권한을 애플 본사 직원 혹은 ACiT(Apple Certified iOS Technician) 시험을 통과한 애플 공인 테크니션에 한해 부여한다. 기기 정보가 애플 제품의 복제 및 변조에 악용될 우려가 있기 때문이다.
애플 피해, 천문학적 규모로 늘어날 수도
문제는 애플이 부여한 권한을 악용하는 직원이 있을 시, 이를 막아낼 마땅한 방책이 없다는 점이다. 실제 애플코리아와 수리 위탁계약을 맺은 국내 업체 직원들이 아이폰의 기기 정보를 대량으로 유출·복사해 중국 밀매조직에 팔아넘겼다는 주장이 나왔다. 중국의 범죄조직이 미국산 IT제품을 불법 복제한 사건은 알려진 바 있다. 그러나 이 같은 국제범죄에 국내 애플 관련 사업자들이 조직적으로 가담한 정황이 드러난 것은 이번이 처음이다.
시사저널은 중국 범죄조직이 국내 브로커에게 전달한 ‘기기 정보 복사 리스트’를 확보했다. 해당 리스트에는 아이폰 일련번호 약 1만 개가 담겨 있다. 리스트를 건네받은 이는 국내 애플의 한 수리센터장. 그는 자신의 지인 6명을 동원해 2016년과 2017년 리스트에 적힌 아이폰 일련번호를 몰래 조회한 뒤, 기기 정보를 무단 복사해 중국 브로커에게 넘긴 것으로 확인됐다. 취재 결과 이 기간 동안 팔려간 아이폰 기기 정보만 최대 수십만 개에 이르는 것으로 추정된다.
시사저널에 관련 사건을 제보한 A씨에 따르면, 기기 정보 유출을 최초로 목격한 시점은 2016년 5월경이다. 애플의 한 수리센터 대표로 일하던 B씨가 ‘괜찮은 돈벌이’를 제안했다. 아이폰의 일련번호 리스트를 줄 테니, 자신이 운영하는 센터에서 기기 정보를 조회·복사하는 아르바이트를 해 달라고 했다. 제시한 페이(pay)는 기기 정보 1건당 300원. A씨는 제의에 선뜻 응했다. 일이 어렵지도 않았을뿐더러, 당시는 이 같은 행위가 불법이라는 인식도 없었다.
A씨는 아이폰의 기기 정보를 열람할 수 있는 권한이 없었다. 그러나 해법은 간단했다. 권한을 갖고 있는 애플 엔지니어의 계정을 빌려 썼다. A씨는 B씨의 센터에서 근무하던 다른 엔지니어의 계정으로 애플이 운영하는 GSX(Global Service Exchange) 프로그램에 로그인했다. GSX는 허가를 받은 애플 직원들이 인터넷을 통해 수리 요청을 처리하고 사후지원 업무를 수행하는 데 사용되는 시스템이다. B씨가 A씨에게 GSX에서 기기 정보를 열람하고 복사하는 방법을 직접 설명해 줬다.
A씨는 그렇게 ‘유령 애플 직원’으로 둔갑했다. 일은 쉬웠다. 기기 정보 1건을 복사하는 데 채 10초가 걸리지 않았다. 하루에 15만원가량을 벌었다. 어느 날에는 60만원도 받았다. A씨는 그렇게 3주가량을 일했다. 산술적으로 A씨는 일평균 500~2000개씩, 총 1만 개 이상의 기기 정보를 유출한 셈이다. A씨는 당시 B씨로부터 조회를 의뢰받은 아이폰 일련번호 약 1만 개 상당의 파일을 시사저널에 공개했다. A씨는 본인 외에도 B씨의 사주를 받아 부정행위를 저지른 직원은 6명가량 더 있다고 증언했다.
A씨는 “처음부터 많은 일거리(일련번호 복사)를 주지는 않았다. 일을 맡기는 쪽에서 얼마나 일을 제대로 소화해 내는지를 봤다. 6명이 500건씩 하루 약 3000건씩 처리하다가 점점 조회 건수가 늘었다”며 “받는 돈이 적지 않으니, 나중에는 애플 센터에서 근무하는 직원들과 B씨의 지인들이 경쟁하듯 기기 정보를 복사하기 시작했다. 유베이스와 동부대우 센터 관계자들이 이 같은 일에 가담했으며, 이 기간에 최소 (기기 정보) 30만 개가 팔려나갔다”고 전했다.
A씨는 이후 B씨를 통해 이 같은 일을 벌인 상선이 중국 ‘밀매상’이란 것을 알게 됐다고 했다. 요약하자면 중국의 범죄조직이 국내 브로커에게 일을 맡기면, 이 브로커가 B씨를 비롯한 몇몇 중간관리자들에게 기기 정보를 복사할 일련번호 리스트를 보냈다. 이후 B씨가 이를 애플 관계자들이나 A씨와 같은 지인들에게 일을 맡기는 구조다. A씨에 따르면 B씨는 기기 정보 한 건당 600원가량을 챙겼다. 이렇게 팔려간 아이폰 기기 정보는 중국 현지에서 한 건당 60~90위안(약 1만~1만5000원)씩 거래되는 것으로 알려졌다. B씨를 비롯한 국내 상선 및 중국 현지 중개인 등은 A씨보다 최소 수 배에서 수십 배에 이르는 부당이득을 챙긴 셈이다.
중국 밀매상은 왜 많은 돈을 써가며 아이폰 기기 정보를 사 모은 것일까. A씨는 ‘진짜 아이폰’의 기기 정보가 ‘가짜 아이폰’을 만들기 위한 핵심 정보이기 때문이라고 주장했다. 실제 애플은 중국에서 만들어진 가짜 아이폰 탓에 애를 먹고 있다. 지난 4월9일(현지 시각) 홍콩의 사우스차이나모닝포스트(SCMP)에 따르면 미국 오리건주에서 유학 중인 중국인 대학생 두 명이 가짜 아이폰을 새 제품으로 교환하는 방식으로 부당이득을 챙기다 적발됐다.
이들은 중국 본토에 있는 공범으로부터 수천 개의 가짜 아이폰을 전달받았다. 이후 “전원이 켜지지 않는다” 등의 이유로 애플 측에 수차례 수리를 맡겼다. 애플은 모조품을 수리해 주거나 새 제품으로 교환해 줬다. 이들은 해당 제품을 다시 중국으로 들여와 제값을 받고 팔았다. 조사 결과 이들은 지난 2017년 4월부터 지난해 3월까지 총 3069건의 제품 수리 신청을 했으며, 그중 애플은 절반 가까운 1493건을 승인했다. 사기행각은 미국 관세국경보호청이 가짜 아이폰 95대가 담긴 우편을 발견하면서 드러났다.
A씨의 증언이 사실이라면 위와 같은 사건은 ‘빙산의 일각’에 불과할 것으로 보인다. 2016~17년 사이 국내에서 중국으로 넘어간 아이폰 기기 정보가 모두 가짜 아이폰을 만드는 데 쓰였다면, 최소 수만에서 수십만 개의 가짜 아이폰이 완성됐다는 것을 의미하기 때문이다. 애플은 위 사건에서 2000대도 되지 않는 가짜 아이폰 탓에 약 89만5800달러(약 10억7000만 원)의 손실을 입은 것으로 알려졌다. 국내에서 반출된 아이폰 기기 정보의 규모 및 드러나지 않은 사기까지 고려한다면, 실제 애플의 피해 규모는 천문학적으로 늘어날 수 있다.
유베이스 “확인해 줄 수 없다”…애플 ‘침묵’
애플 보안 시스템에 문제가 생긴 것 아니냐는 지적도 제기된다. GSX 시스템에 대한 문제가 터진 게 이번이 처음은 아니기 때문이다. 지난해 6월3일(현지 시각) 미국 IT전문매체 지디넷은 익명의 해커가 자신의 SNS에 올린 GSX 이미지 몇 장을 공개했다. 보도에 따르면, 해커는 애플의 GSX 시스템에 접근해 매일 20명 이상의 계정 정보를 빼돌려 판매했다고 주장했다. 당시 해커가 추가적인 ‘사기 증거’를 내놓지 못하면서 사건은 흐지부지 잊혔다. 그러나 이번에는 한국에서 외부인이 GSX 시스템에 접근했다는 사실이 내부고발 형식으로 터져 나왔다. 과연 애플은 아이폰 기기 정보 수십만 건이 새어나갔다는 사실을 몰랐을까.
시사저널 취재 결과 애플은 관련 사실을 인지했던 것으로 보인다. B씨를 중심으로 기기 정보 조회가 한국 특정 지역에서 6개월 가까이 증가하자, 애플 본사가 2016년 11월경 해당 지점과 계약을 맺고 있던 유베이스에 조사를 지시한 것으로 알려졌다. 유베이스는 당시 센터장 등과의 면담 결과를 토대로 직원 1명을 해고하는 선에서 문제를 매듭지었다. 그러나 2017년 5월 또다시 같은 문제가 유베이스 센터에서 발생했다. 그러자 애플은 기기 정보 조회가 급격히 늘어난 계정 여러 개를 정지시켰다.
지난해 7월에는 애플케어 준법감시팀(Applecare Worldwide Compliance) 소속의 노라 헨리(Nora Henley)가 감독관으로 급파돼, 문제가 된 유베이스 센터를 불시 방문하기도 했다. 당시 노라는 센터장에게 기기 정보 조회 이유 등을 물은 것으로 전해졌다. 이후 애플은 2018년 8월 해당 센터에 애플과의 계약상 의무의 지속적인 준수(the necessary controls to ensure its ongoing compliance with its contractual obligations with Apple)를 촉구하는 일종의 경고장을 보내기도 했다.
다만 애플이 △유출된 기기 정보가 수십만 건에 이른다는 점 △가담자가 특정 1인이 아니라는 점 △해당 정보가 중국에 팔려나갔다는 사실을 인지하고 있는지 여부는 확인되지 않았다. 또한 유베이스가 이 같은 사실을 애플에 모두 보고했는지 여부 역시 확인할 수 없었다. 시사저널은 애플코리아 측 관계자에게 연락을 취해 입장을 물었지만 답을 얻을 수 없었다. 유베이스 측은 “기기 정보는 개인정보가 아니다. 또 고객사와의 계약에 의거해 업무 내용은 확인해 줄 수 없다”고 답했다.
☞연관기사
애플 서비스센터 유베이스, ‘직원 비리’ 축소·은폐 의혹
