중국 연길, 태국 방콕의 호텔 등에서 활동한 국제 해킹 점조직 18명은 어떻게 총 600억원대의 돈을 빼낼 수 있었을까?
[1단계]
2023년7월~2024년4월까지 해킹조직은 정부,플랫폼 업체 등 6곳의 대형 웹사이트 6곳을 해킹해 개인정보를 대량 탈취했다. 정부와 공공기관 5곳, 본인인증기관 2곳, 금융기관 1곳, ICT위탁기관 1곳, IT기업 1곳, 알뜰폰 사업자 12곳 등이다.
이들은 웹사이트와 네트워크 인프라의 '알려진 취약점'과 '미발견(제로데이) 취약점'을 조합해 공격을 했다.
특히 이들은 워터링홀 기법(Watering Hole Attack·사슴이 자주 마시는 연못)을 썼다. 특정 기업이나 단체가 자주 접속하는 사이트에 악성코드를 미리 심어놔 간접적으로 그들을 감염시키는 전략이다.
여기서 이름, 신분증,운전면허, 통장 계좌번호, 금융자산 잔고, 전화번호 등을 확보해 개별적으로 확인한 뒤 '돈이 많을 법한 258명'을 우선 해킹 타깃으로 추려 냈다.
[2단계]
해킹 타깃이 된 258명중 '실제로 통장 계좌 잔고로 돈이 많은 사람'을 다시 추렸다. 그런뒤 '휴대폰을 무단 개통했을 때 바로 대응하기 힘든 사람'을 또다시 추려냈다. 군대에 갔다든지, 감방에 있다든지, 해외에 머문다든지 하는 유명 재력가들을 선정했다. 군대에 간 BTS의 정국은 그래서 해킹 대상에 포함됐다. 또 구속 수감된 재벌그룹 회장 2명과 해외체류중인 사람, 가상자산 투자자 등 26명을 엄선했다.
[3단계]
조직원들은 알뜰폰 사업자 12곳의 '개통 서비스'를 해킹해 89명의 이름으로 휴대폰 유심 118개를 무단 개통해 놨다. 알뜰폰이 SKT, KT,LGU+ 등 통신3사보다 보안수준이 매우 낮다는 점을 노렸다.
총책들은 카톡 메신저를 통해 해킹 대상자들의 기사를 공유하면서 군대 입대여부, 수감 기간, 해외출장 동향 등을 매일 빠뜨리지 않고 꼼꼼히 챙겼다고 한다.
[4단계]
조직원들은 알뜰폰 개통 서비스를 해킹해 유심을 부정 개통했고, 공동인증서와 아이핀 등 본인인증 수단을 확보했다. 그런뒤 해킹 대상자의 은행계좌,가상자산 거래소 계정에 침입해 돈을 빼냈다.
일반적으로는 정상적인 인증 절차 후에 서버가 고객에게 '인증성공' 신호를 보내는데 , 이 파라미터 신호를 변조해 인증절차가 미흡해도 인증 성공이 되도록 조작한 것이다.
이들 해킹조직은 이렇게 최종 엄선된 26명중 16명의 돈 390억원을 가로챘고, 나머지 10명으로부터는 250억원을 편취하려다 미수에 그쳤다. 피해금액을 합치면 213억원의 가상자산 피해를 본 사람 등을 포함해 총 640억원에 이른다. 다만 BTS의 정국은 84억원 상당의 하이브 주식을 탈취 당했으나, 소속사인 하이브가 해킹을 인지한 즉시 지급정지 등 조치로 최종피해로 이어지지는 않았다.
경찰은 총책 지시를 받고 국내 행동책 모집을 한 범인과 자금 세탁 역할을 한 중국 국적의 중간책 4명을 검거했다. 또 유심 부정개통, 유심 중계기 운영, 본인인증 우회 범행을 분담한 한국인 12명도 함께 잡혔다.
Copyright ⓒ 저스트 이코노믹스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
