[아이뉴스24 성지은기자] 지난해 이스트소프트에서 회원 개인정보를 대량 유출해 업체를 협박하며 비트코인을 요구한 피의자가 경찰에 붙잡혔다.
경찰청 사이버수사과는 이스트소프트 개인정보 유출사건 총책인 중국인 조모(27)씨를 작년 말 검거해 정보통신망 이용촉진 및 정보보호에 관한 법률 위반 등 혐의로 구속했다고 10일 발표했다. 현재 한국인 공범 1명의 소재는 경찰에서 추적 중이다.
조 씨 일당은 작년 2월9일부터 9월25일까지 이스트소프트의 '알툴즈' 회원 16만 6천여명의 계정에 부정 접속했다. 이후 각 회원이 등록한 여러 사이트 아이디와 비밀번호 2천540만여건을 입수한 뒤 업체에 비트코인을 요구하며 협박했다.
이들은 이스트소프트가 '알툴즈' 회원에게 제공하는 아이디·비밀번호 통합관리 서비스 '알패스'를 노리고 범행을 계획한 것으로 드러났다. 알패스에 여러 사이트 아이디와 비밀번호를 저장해 두면 사이트에 접속할 때마다 자동으로 아이디·비밀번호가 입력된다.
이들은 알패스에 아이디와 비밀번호가 대량 보관됐다는 사실을 알고, 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 프로그램을 만들어 범행에 사용한 것으로 조사됐다.
특정 인터넷주소(IP)에서 기계적으로 접속이 계속해 시도되면 이상 징후가 탐지돼야 하나, 이스트소프트 측은 이를 포착하지 못한 것으로 알려졌다.
알패스에서 계정 정보를 유출한 조씨 일당은 전화와 이메일 등으로 67차례 회사로 연락해 "5억원어치 비트코인을 주지 않으면 유출한 정보를 언론사 등에 넘기겠다"고 협박했다. 그러나 이스트소프트 측은 이들의 요구에 응하지 않았고, 수사기관에 신고한 뒤 회원들에게 해당 사실을 알렸다.
경찰 조사에 따르면, 조 씨 일당은 유출한 피해자 2명의 아이디와 비밀번호로 가상화폐 거래소에 접속하고 범행 당시 시세로 800만원에 해당하는 2.1비트코인을 자신들의 지갑으로 전송해 가로챈 것으로 나타났다.
또 다른 피해자는 2차 개인정보 유출로 신분증과 신용카드 사진이 유출돼 자신 명의의 대포폰과 서버 개설이 이뤄지기도 했다.
경찰은 "아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지하도록 보안을 강화하라고 웹사이트 운영업체에 권고했다"며 "신분증, 신용카드 등 중요정보가 촬영된 사진이 포털에 자동 저장되지 않도록 주의해야 한다"고 당부했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기