/이미지투데이악성코드를 유포해 70억 건이 넘는 개인정보를 불법수집한 후 억대의 범죄수익을 올린 일당이 구속돼 재판에 넘겨졌다.
서울동부지검 사이버수사부(김봉현 부장검사)는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 등의 혐의로 최모(23)씨 등 3명을 구속 기소했다고 2일 밝혔다. 이들은 엑셀파일로 위장한 악성코드를 유포하고, 이를 이용해 빼돌린 약 74억 건의 개인정보로 해킹을 저질러 1억원이 넘는 범죄수익을 챙긴 혐의를 받는다.
최씨 일당은 2016년부터 4년여에 걸쳐 1만2,000여대 PC의 관리자 권한을 빼앗아 원격제어, 키로깅(키보드 입력값을 낚아채는 해킹 기술), 파일 전송 등 기능을 가진 악성코드를 유포한 것으로 확인됐다. 이들은 악성코드에 감염된 PC를 장기간 관리하면서 타인의 계정 정보를 수집하고, 감염 PC를 디도스(DDoS) 공격에 활용했다. 디도스 공격이란 광범위한 네트워크를 이용해 다수의 공격 지점에서 동시에 한 곳을 공격하는 형태의 서비스 거부 공격을 뜻한다. 악성코드 작동 후 감염된 PC는 모니터 화면을 최씨 일당에 고스란히 전송했다. 이들은 원격으로 특정 파일을 실행·업로드·다운로드하는가 하면 감염 사실을 모르고 있는 사용자가 키보드에 입력하는 값을 가로채 개인정보 수집과 해킹에 활용했다.
검찰 수사 결과 이들의 컴퓨터에서는 이름, 주민등록번호, 이메일 주소, 아이디, 비밀번호 등 74억93만 건의 개인정보 DB가 발견됐다. 일당은 자신들과 친분이 있는 중국 소재 피싱 조직의 PC를 해킹하고, 이를 통해 얻은 개인정보를 DB(데이터베이스)로 만들어 관리했다. 개인정보는 넥슨, SK커뮤니케이션즈(네이트) 등 복수의 인터넷 사이트에서 유출된 것으로 알려졌다. 일당은 이 DB를 수차례 판매해 1억4,000여만원을 챙겼다. 다만 검찰은 구체적인 범죄 사실이 특정된 액수인 약 600만원에 대한 부분만 범죄 혐의가 있다고 판단했다.
검찰 관계자는 “(이번 사건은) 매우 중대하고 광범위한 개인정보 불법 수집·유출 사안”이라며 “개인정보 유출뿐 아니라 개인정보 불법활용 사범에 대해서도 지속적으로 단속할 예정”이라고 말했다.
