경찰청 사이버테러대응센터가 창설된 지 13년이 지났다. 2003년 전국 대부분의 인터넷망을 불통으로 만들었던 1.25 인터넷 대란에서부터 2009년 수십만대의 좀비PC가 동원돼 청와대 등 주요 정부사이트를 마비시킨 7.7 분산서비스거부(DDoS) 사태까지 사이버테러대응센터는 현장에서 해킹범을 검거하기 위한 사이버범죄수사에 분투해왔다. 사이버범죄수사 13년을 맞아 인터넷 공간을 떠들썩하게 했던 '그 때 그 사건'을 돌아보고 현재 시점에서 주는 의미를 반면교사 해본다. [편집자주]
[1]2004년, 피싱의 시작
한동안 잠잠했던 피싱사기가 다시 고개를 들고 있다. 최근에는 PC뿐만 아니라 스마트폰 이용자에게까지 번졌다. 수법도 더 교묘해졌다. 피자헛, 롯데리아, 다빈치커피, 도미노피자, 베스킨라빈스, 카페베네, CGV 등의 무료 쿠폰으로 위장하는가 하면 V3 등 모바일백신프로그램, 카카오톡 게임앱 등을 위장한 악성앱까지 등장해 사용자들을 노리고 있다.
그러나 이는 최근 일이 아니다. 이미 2004년에 이메일, 인터넷 뱅킹 등에 필요한 개인정보를 노린 범죄가 등장하기 시작했기 때문이다.
경찰청 사이버테러대응센터는 2004년 11월 인터넷 해킹의뢰자를 모집해 A정보통신의 홈페이지를 위장한 피싱 사이트로 피해자들을 유인, 이메일 접속용 ID, 비밀번호 등을 빼주는 대가로 100여만원을 챙긴 피의자 이모씨(23, 대학휴학생)과 이를 통해 다른 사람의 이메일을 훔쳐 본 피의자 황모씨(25, 여, 미술학원 원장) 등 9명을 정보통신망법 위반 혐의로 불구속 입건했다.
이미 약 10년전부터 국내에 피싱 사기가 등장하기 시작한 것이다. 최근 알려진 것처럼 사람들이 자주 드나드는 홈페이지를 위장해 개인정보를 입력하도록 유도하는 수법은 이때부터 경찰의 수사선상에 올랐다.
이모씨는 B사이버대학교 1학년 휴학생이었다. 그는 인터넷으로 이메일 해킹 의뢰자를 모집해 다른 사람의 이메일 비밀번호를 알려주면 돈을 벌 수 있을 것이라는 생각에 이같은 사업계획을 세웠다.
의뢰인 황씨는 피해자이자 전 애인인 차모씨의 사생활을 엿보고 싶은 충동을 누를 수 없었다. 이에 이모씨가 운영하는 해킹의뢰사이트에 들어가 차씨의 이메일 비밀번호를 알려줄 것을 요청했다.
당시 이씨는 피해자가 사용하는 이메일에 악성코드를 심어 음악메일을 보냈다. 메일에 포함된 링크주소를 누르면 A정보통신에서 운영하는 이메일 시스템의 로그인 페이지와 똑같은 화면이 보여진다. 피해자가 이곳에 ID와 비밀번호를 입력하면 그 정보는 피의자에게 자동으로 전송되게 했다. 이씨는 이같은 수법으로 건당 3만원에서 20만원까지 총 10여회에 걸처 100만원의 부당한 돈을 취득했다.
이 사건은 당시 의뢰자들이 헤어진 애인, 부인, 내연남 이메일 번호를 이용해 수백회에 걸쳐 이메일 내용을 열람했던 사건으로 기록된다. 더구나 이미 2003년 8월 이후부터 해외 유명 인터넷 경매사이트의 회원정보/신용정보 업데이트 사이트를 위장해 접속자들이 관련 정보를 입력하면 파일로 저장되도록 한 뒤 파일로 저장해 금융정보 15만 건을 유출시켰다. 경찰청측은 용의자가 외국에 거주하는 국제해커그룹 리더라는 사실을 밝혀냈다.
이듬해인 2005년에는 지금과 거의 같은 형태로 좀더 진화된 피싱 수법이 등장해 사용자들의 지갑을 노렸다. 이들은 은행사이트를 위장해 피해자가 사이트에 입력한 정보를 국내 및 해외 서버로 유출시켰다. 이를 바탕으로 12명에게서 총 1억2천만원을 가로채고, 해당 IP주소가 접속차단되자 또 다른 은행 피싱사이트를 제작 중에 덜미를 잡혔다. 당시 금융감독원은 지금과 마찬가지로 인터넷 뱅킹 주의보를 발령했다.
인터넷 뱅킹 이용 고객은 한국은행 추산 2천543만명으로 처음으로 은행 직접 방문 이용자수를 앞섰다. 피의자들은 인터넷 카페에 대출광고를 한 뒤 이를 보고 연락한 피해자들에게 해당 사이트로 접속을 유도했다.
같은 해 여러가지 형태의 유사사례가 발생했다. 인터넷에 게시글을 클릭하면 사용자가 키보드로 입력한 정보를 외부로 전송하는 키로깅 프로그램이 자동설치되도록한 뒤 기존에 피해자가 사용하는 공인인증서를 폐기한 후 재발급 받아 5천만원을 인출하는 일당이 검거됐다. 은행 피싱사이트를 만든 해커 중에는 고등학생도 있었다.
은행 여직원을 가장해 본인 확인을 위해 보안카드 번호를 알려달라고 하는 등의 수법으로 자금이 인출된 사례도 있다.
관련기사
- 보이스피싱 ‘파밍’ 합동 주의경보2013.03.08
- 인터넷뱅킹 피싱 주의…금결원 긴급공지2013.03.08
- “25만원 결제완료”…신종 SMS 피싱 주의보2013.03.08
- 파리바게뜨 위장 '소액결제 피싱' 주의2013.03.08
무선인터넷만을 이용해 이같은 범죄를 저지른 피의자 송씨는 수사관에게 어떻게 자신의 위치를 추적했는지 모르겠다고 반문했다는 에피소드가 있다.
금융위원회 등에 따르면 지난해 11월부터 넉 달간 발생한 파밍 사기 피해는 323건으로 피해금액만 20억6천만원에 달한다. 올해도 불과 두달 새 117건, 약 11억원이 이같은 수법으로 사기를 당했다. 이미 10년전에 발생한 피싱이 파밍 수법으로 변모하면서 피해는 수십배로 늘어났다. 격세지감이다.
