한국 재력가·유명인들은 어떻게 국제 해킹조직의 먹잇감 됐나 [정락인의 사건 속으로]

국제 해킹조직이 한국인들을 노리고 있다. 일반 서민부터 재력가 등 대기업 회장, 유명 연예인 등도 예외가 아니다. 이중 삼중의 첨단 보안장벽도 쉽게 뚫리는 실정이다. 뛰는 보안 위에 나는 해커들이 있는 것이다. 

중국과 동남아 해커뿐 아니라 북한 해커들까지 한국을 노리고 있어 대책 마련이 시급한 상황이다. 최근 경찰이 적발해 일망타진한 국제 해킹조직의 경우 비대면 인증체계를 우회해 금전을 탈취한 전례 없는 사건이었다. 

비대면 인증체계 우회해 금전 탈취

“누군가 제 명의로 휴대전화를 개통했습니다.” 2023년 9월 서울 남대문경찰서에 한 피해자의 신고가 접수된다. 이후에도 서울을 시작으로 휴대전화 부정 개통 신고가 잇따르자 경찰청 사이버수사대가 사건을 취합해 집중수사에 나섰다. 

불법 개통된 피해자들의 휴대전화는 대부분 ‘알뜰폰’이었다. 기존 이동통신사업자의 통신망을 빌려 독자적인 무선 서비스를 제공하는 회사가 판매하는 휴대전화로, 통신망을 따로 구축하지 않아 상대적으로 요금이 저렴한 전화였다. 용의자들이 피해자들의 개인정보를 해킹으로 탈취한 다음 무단 개통한 상태였다. 그런데 해킹 발원지가 중국 옌지(연길)와 다롄(대련), 태국 방콕 등지로 나타났다. 경찰은 이들이 한국인을 대상으로 한 전문적인 국제 해킹조직인 것으로 특정했다.

중국과 태국에 거점을 둔 조직은 ‘총책-중간책-국내 행동책-위조책-세탁책’ 등으로 체계를 갖추고 있었다. 총책인 A씨(34)와 B씨(40)는 중국 국적 조선족들로 학창 시절 선후배 사이였다. 두 사람은 한국인을 대상으로 한 사이버 범죄를 계획하고 다른 해커들과 함께 오랫동안 해킹 기술을 공부했다. 

한국의 보안 취약점을 연구해 찾아낸 뒤에는 중국동포 네트워크를 통해 중간책들을 모집했다. 한국의 하부조직 구성을 위해서는 텔레그램 등 SNS를 적극 활용했다. 이들은 ‘고액 알바 모집’과 ‘가상화폐 투자 손실을 만회해 준다’는 등의 게시글을 올려 한국인 하부책들을 모집했다. 

조직 구성이 끝나자 본격 범행에 나선다. 이들은 처음부터 한국인 재력가들을 노렸다. 최근 온라인에서 비대면을 통한 본인 확인이 광범위하게 활용되는 점에 착안해 보안 취약점을 악용했다. 이때부터 국내 온라인 서비스 업체 등을 해킹해 주민등록번호와 비밀번호 등 민감한 정보를 빼내 데이터를 구축했다. 

이들은 또 범행 대상에 대한 선택과 집중을 꾀한다. 재력가나 연예인 등의 개인정보를 빼내 크게 한탕을 노린 것이다. 이를 위해 보안이 취약한 정부와 공공기관, IT 플랫폼 업체, 금융 공동관리기관 등을 집중 해킹했다. 

이런 수법으로 258명의 이름, 신분증 정보, 운전면허 정보, 계좌번호와 금융자산 정보, 전화번호 등 다수의 개인·금융·인증 정보를 추가로 확보했다. 여기에는 100대 그룹 회장과 임원, 방탄소년단(BTS) 멤버 정국 등 유명 연예인 등이 포함됐다. 

이후 해커인 총책들은 실명 인증에 필요한 개인정보를 확보해 중간책들에게 알뜰폰 개통을 지시했다. 중간책 4명은 해커가 수집한 개인정보를 이용해 해당자의 신분증을 위조했다. 유심 개통의 세 번째 단계인 전자서명 인증 사업자의 간편인증은 피해자의 이름으로 유심폰 가입을 신청한 다음 간편인증을 선택하고, 해커가 제3자 이름으로 데이터를 변조하는 방식을 활용했다. 

마지막 단계에서는 알뜰폰 사업자 12곳의 개통 서비스를 해킹해 휴대폰 유심을 무단 개통했다. ICT(정보통신기술) 위탁기관 1곳을 해킹해 휴대전화 가입 제한 서비스도 무단으로 해제했다. 본인 인증은 명의자가 아닌 제3자 전자서명으로 우회했다. 이런 방식을 통해 알뜰폰 유심 개통 과정에서 필요한 실명 인증, 신분증 인증, 전자서명 인증 사업자의 간편인증에 모두 성공했다. 이처럼 이중 삼중의 첨단 보안장벽이 해커들에게 쉽게 뚫리고 만 것이다. 

알뜰폰을 개통한 이후 금융자산 탈취 과정도 일사천리로 진행됐다. 피해자의 금융계좌에 있는 자금을 빼내기 위해서는 신분증이 필요하다. 이 단계는 식은 죽 먹기보다 쉬웠다. 이미 피해자의 개인정보와 신분증 정보 등을 모두 확보했기 때문이다. 이렇게 탈취한 현금과 가상자산은 해킹조직의 국내 행동책 등에게 맡겨 모두 자신들 가상자산으로 변환했다. 

대기업 회장 등도 속수무책으로 당해 

해킹조직은 재력가들의 경우 피해자들의 상황을 십분 활용했다. 휴대폰을 무단 개통해도 곧바로 대응하기 어려운 교정시설 수감자나 유명인, 해외에 체류 중이거나 군에 입대한 연예인 등이 대표적이다.  

2023년 7월부터 올해 4월까지 해킹으로 금전이 탈취된 피해자는 16명, 피해액은 390억원이다. 피해자 중 가장 큰 피해액은 213억원이다. 피해자들에게 탈취한 범죄 수익금은 세탁을 거쳐 총책들에게 흘러갔다. 10명한테는 250억원을 편취하려다 계좌 이체 과정에서 이상 거래로 탐지돼 차단됐다.

BTS 멤버 정국도 입대 직후인 지난해 1월 증권계좌 명의를 도용당해 84억원 상당의 하이브 주식 총 3만3500주를 탈취당한 것으로 알려졌다. 다만 소속사가 피해 인지 직후 지급정지 등 조치로 실질적인 피해로는 이어지지 않았다. 피해액 중 경찰의 출금 차단 조치로 지금까지 128억원이 피해자들에게 반환됐다.

해킹조직이 범행 대상으로 겨냥해 해킹을 통해 계좌 잔액을 확인했는데, 그 피해자는 258명이다. 이들은 대기업 회장과 대표이사 70명, 기업 임원 5명, 법조인·공무원 11명, 연예인 등 인플루언서 12명, 체육인 6명, 가상자산 투자자 28명인 것으로 파악됐다. 여기에는 재계 30위권 기업 총수도 포함됐다. 피해자 258명의 계좌 잔액은 55조2200억원으로, 가장 많은 잔액을 가진 피해자는 12조원 정도를 보유하고 있었다. 그나마 경찰의 빠른 대처로 피해자와 피해액을 줄일 수 있었다. 

경찰은 해킹조직 와해와 총책 등 조직원 검거를 위해 인터폴과 공조에 나서 조직원 18명을 순차적으로 검거했다. 총책 2명과 중간책 4명을 포함한 중국 국적 6명, 한국인 12명 등이었다. 두 총책의 경우 1년 정도 첨단수사 기법을 통해 인적 사항을 특정하고, 인터폴에 적색수배를 내렸다. 총책 중 한 명인 A씨의 경우 지난 5월 방콕에 있는 것을 파악하고 현지 경찰과 인터폴 합동작전으로 숙박업소에서 검거했다. 

경찰은 A씨를 국내로 압송해 정보통신망법 위반과 특정경제범죄법 위반 등 11개 혐의를 적용해 구속했다. 나머지 총책인 B씨의 경우 태국 당국에 구속된 상태이며, 경찰은 범죄인 인도 절차에 따라 송환을 진행 중이다. 총책과 조직원이 모두 검거되면서 해당 해킹조직은 사실상 와해된 상태다. 이번 사건은 해킹 범죄에 누구도 안전할 수 없다는 것을 다시 한번 확인시켜준 사례다.  

가장 위험한 해킹조직은 북한…수법도 진화

한국을 노리는 해커 중 가장 위험한 것은 북한의 해킹조직이다. 북한은 1990년대부터 정보기술(IT)과 해킹 인력 양성에 국가적 역량을 쏟아붓기 시작했다. 북한 해커들은 어릴 때부터 체계적으로 교육을 받으며 길러진다. 전국 소학교(초등학교)에서 수학과 과학 영재들을 선발해 대학까지 전문지식을 가르치고 있다. 최고 실력파들은 중국·러시아·인도 등으로 유학을 보낸다. 

이렇게 길러진 해커들은 중앙당과 군사조직 산하에 배치되는데, 이들의 능력은 세계 최고 수준으로 평가받고 있다. 북한 해커들은 사이버 공격뿐만 아니라 핵기술과 대량살상무기(WMD) 개발자금 조달, 김정은 통치자금 마련을 위해 국적과 대상을 가리지 않고 해킹 도둑질에 나서고 있다. 특히 경제 제재로 인해 합법적인 금융거래가 차단되자 무차별 해킹 공격에 나서고, 가상자산 절취와 랜섬웨어 공격을 통해 막대한 수입을 올리는 것으로 알려졌다. 

북한의 해커들은 지난해에만 13억4000만 달러(약 1조9000억원)를 해킹을 통해 탈취한 것으로 드러났다. 전 세계 가상자산 해킹 피해액의 61%에 달하는 엄청난 금액이다. 현재 활동 중인 북한의 해킹조직(해커부대)은 ‘라자루스’ ‘블루노로프’ ‘안다니엘’ ‘킴수키’ ‘APT38’ ‘페이머스 천리마’ 등으로, 이들은 전 세계에서 악명을 떨치고 있다.

북한 해킹조직 공격의 표적 중앙에는 한국이 있다. 이들은 정부기관, 공기업, 금융기관뿐만 아니라 가상화폐까지 노리고 있다. 국정원에 따르면 이미 북한 해킹조직이 국내 거래소를 해킹해 최소 수백억원 이상의 가상화폐를 빼내간 것으로 알려졌다. 이들은 가상화폐 거래소와 회원들에게 스피어피싱 메일을 유포해 패스워드를 빼냈다. 또한 신입 직원 입사지원서로 위장해 메일을 보내고, 거래소 직원 컴퓨터를 해킹하는 수법을 사용한 것으로 전해진다.

개인도 예외가 아니다. 불특정 개인의 PC에 악성코드를 심는 방식 등으로 개인에 대한 공격이 성행하고 있는데, 그 배후에 북한 해커가 있는 것으로 의심되고 있다. 현재 북한 해킹조직의 수법은 빠르게 진화하고 있고, 인공지능(AI)을 활용해 더욱 정교해지고 있다. 최근에는 31개 가짜 신분을 활용해 외국의 암호화폐 기업에 침투해 68만 달러(약 9억5000만원)를 탈취했다. 

향후 북한 해킹조직의 한국 상대 공격은 더욱 은밀하고 치밀하게 전개될 것으로 보인다. 그러면서 중국이나 동남아 조직으로 위장하거나 연계하는 등의 방법으로 몸통을 더욱 숨기려 할 것이다. 언제든 자신의 계좌에 있는 돈이 북한 해커의 공격 대상이 될 수 있는 것이다. 전문가들은 단순한 보안 강화만으로는 북한 해커들의 정교한 해킹을 막기에는 한계가 있기 때문에 근본적인 해결책이 마련돼야 한다고 지적한다.