중국 해커와 공모해 제 2금융권과 쇼핑몰 사이트 등 국내 외 378개 사이트를 해킹해 입수한 개인정보를 판매한 국내 해커 2명과 보호조치위반 해킹피해업체 관계자 32명 등 총 34명이 경찰에 입건됐다.

부산경찰청 사이버수사대는 8일 중국 해커와 공모해 국내 금융 대부업체 사이트와 쇼핑몰 등에서 개인정보를 빼내 판매한 A씨(37)를 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 등 혐의로 구속영장을 신청하고 공모자 B씨(29)를 불구속 입건했다.

경찰은 또 해킹 피해업체의 서버 보안관리를 맡고 있으면서 개인정보 보호를 소홀히 한 C씨(35) 등 20개 업체 32명을 개인정보 기술·관리적 보호조치 위반 혐의로 불구속 입건했다.

A씨 등 해커 2명은 지난해 4월30일부터 같은해 11월30일까지 중국 해커와 공모해 모 금융 대출 사이트와 쇼핑몰 등 국내 378개 사이트를 해킹해 이 중 152곳에서 빼낸 개인정보 680만 건과 미리 인터넷에서 구해 보관하고 있던 620만 건 등 모두 1300만 건을 5차례에 걸쳐 3260만 원에 판매한 혐의다.

또 피해업체 관리자 C씨 등 32명은 개인정보 유출을 막기 위한 해커 침입탐지 등 보안시스템을 제대로 관리하지 않거나 고객의 비밀번호를 암호화 하지 않은 혐의를 받고 있으며, 나머지 업체에 대해 계속 수사 중이다.

A씨 등 해커들은 웹서버의 파일 첨부 기능의 취약점을 이용 해킹 프로그램을 서버에 침투시켜 서버관리자처럼 페이지를 생성시켜 개인정보를 빼내는 수법인 '웹쉘 업로드(web-shell upload)' 해킹 수법으로 개인정보를 빼낸 것으로 경찰조사 결과 밝혀졌다.

경찰은 A씨 등이 빼낸 정보가 성명과 주소, 주민번호, 전화번호, 이메일 주소, ID, 비밀번호 등 개인 정보가 대거 포함돼 있어 금융사기에 이용되거나 메신저 피싱 등 2차 범행에 이용될 우려가 있다고 밝혔다.

특히, 피해업체의 경우 정보유출 피해를 막기 위해 주민등록번호를 포함한 모든 개인정보를 암호화하도록 지난 1월18일 개정한 방송통신위원회 고시의 내용을 대부분 모르고 있거나 알더라도 비용이 많이 든다는 이유로 보안 조치를 하지 않은 것으로 밝혀졌다.