서울경찰 블로그 자세히보기

서울경찰이야기/현장영웅 소개

28만 명의 개인정보가 한 사람 손에??

서울경찰 2014. 11. 7. 10:16

  "오늘은 뭘 살까?"

  대한민국의 평범한 직장녀 A양.

  월급날이 다가오자 제일 먼저 그동안 사고 싶었던 옷을 사기 위해 인터넷 쇼핑몰에 접속했습니다.

 

  아이디와 비밀번호를 입력하자, 비밀번호 사용기간이 오래 지났다며 변경해달라는 메시지가 뜨네요.

 

 

  A녀는 조금의 망설임도 없이 '30일간 보지않기'를 클릭합니다.

  '변경하기'를 클릭한다면 여러 인증을 거쳐야 되기 때문에 번거롭기도 하고, 기존에 외우고 있던 비밀번호 대신 새로운 비밀번호를 외워야 되기 때문에 귀찮기도 하죠.

 

  게다가 A녀가 회원 가입하여 이용하는 사이트는 지금 접속한 인터넷 쇼핑몰뿐만 아니라 다른 쇼핑몰 5개, 포털싸이트 3개 등 20여 곳이 넘습니다.

  사이트마다 다른 아이디로 가입을 한다거나, 정기적으로 비밀번호를 변경한다는 건 A녀에게 매우 불가능한 일입니다.

 

  그날 '30일간 보지않기'를 클릭하여 신나게 쇼핑을 한 A녀는 한 해커에 의해 아이디와 비밀번호를 해킹 당했고, 결국 아이디와 비밀번호가 같은 다른 사이트에 저장하여 둔 개인 정보가 유출되어버리고 말았답니다.

 

  A녀와 같은 사례는 우리 주변에서 쉽게 일어날 수 있는 얘기입니다.

  A녀가 만약 비밀번호만 변경했더라면 다른 사이트까지 해킹당하는 피해가 없었을 겁니다.

 

  그저 귀찮아서, 외우기 힘들어서, 비밀번호를 변경하지 않고 방치하는 동안 해커들은 아직도 우리의 소중한 정보를 캐내며, 누설하며 돌아다니고 있는데요.

 

  최근 국내외 24개국 104개 사이트를 해킹하여 개인정보를 유출한 피의자가 경찰에 검거되었다는 기쁜 소식을 듣고 찾아가 보았습니다.

 


<서울경찰청 사이버수사대 김상국 경위>

 

  서울지방경찰청 사이버수사대는 작년 11월부터 지난 8월까지 국내 · 외 쇼핑몰, 대학 등 24개국 104개 웹사이트를 해킹하고,

  공공장소에 설치된 컴퓨터에 악성프로그램을 유포하거나 해외 해킹포럼에서 활동하면서 국내 · 외 개인정보, 신용카드 정보, 해외 국가기관 정보, 통신장비 정보 등 28만 건을 수집하여,

  인터넷 등에 유포한 장 모 씨(20)를 정보통신망촉진 및 정보보호 등에 관한 법률위반 혐의로 불구속 입건하였습니다.

 


<피의자가 탈취한 개인정보>

 

  장 씨는 아직 20살밖에 되지 않는 대학생인데요.

  지난 2012년부터 독학으로 주로 해외 아랍권 사이트에서 해킹 방법을 습득했다고 합니다.

 

  장 씨는 10년이 넘은 고전적 해킹 수법인 'SQL 인젝션 공격'과 '크로스 사이트 스크립트(XSS) 공격'을 이용하여 보안이 허술한 국내 중소형 사이트나 경찰의 추적이 어려운 해외 사이트를 해킹 대상으로 삼았습니다.

 

 

 

 

 

  ※ SQL 인젝션 공격

 

  서버에 특정 SQL문을 입력하여 데이터베이스에 접근, 회원정보 등을 유출할 수 있는 공격

 

  ※ 크로스사이트 스크립트(XSS) 공격

 

  게시판 등에 악의적인 스크립트가 포함된 글 게시, 이용자가 열람할 경우 세션정보를 취득하여 이용자 권한으로 접속할 수 있는 공격

 

 

 

 

  장 씨는 해외 온라인 서비스 '페이스북' 및 '트위터', '애플 아이튠즈', '페이팔' 등 계정정보와 북한 사이트 가입자 정보, 국 · 내외 정부기관 소속자의 정보까지 무차별적으로 수집하여 해외 클라우드에 보관하였습니다.

 

  그뿐만 아니라 해킹하여 수집한 개인정보와 함께 범행을 촬영한 영상을 누구나 볼 수 있도록 블로그나 유트브, 해킹포럼에 게시했는데요.

 


<피의자의 시그니쳐와 비트코인 계좌번호 (BTC)

 

  해킹 피해 사이트에 자신만이 알 수 있는 독특한 흔적인 시그니쳐(Signature)를 남겨 해커로서 실력을 과시한다거나, 해킹된 개인정보와 피의자 비트코인 계좌번호(BTC)를 함께 게시하여 기부받기 위한 시도도 감행했습니다.

 


<해킹피해사이트>

 

  경찰 조사 결과 피해 대상 웹사이트는 쇼핑몰(40개), 기업(19개), 교육기관(5개), 게임(5개), 연구기관(3개), 의료기관(2개), 음란 사이트(1개), 종교기관(1개) 등 104개소로 확인됐는데요,

  장 씨의 범행으로 국내 일부 사이트는 개인정보 유출 피해로 인해 쇼핑몰 사이트를 폐쇄하기도 하였습니다.

 

 

  2014년은 여기저기 발생한 정보유출 사건들이 온 국민을 불안하게 만들었습니다.

  이에 사이버수사대는 국내 웹사이트뿐만 아니라 외국 웹사이트를 찾아다니며 해커들에 대한 수사를 펼친 끝에 피의자를 검거하였는데요.

 

  사이버수사대 김상국 경위는 "컴퓨터 이용자들은 공공장소에 설치된 컴퓨터를 이용할 땐 비밀번호 등이 노출될 수 있다는 점을 꼭 염두에 두셔야 합니다."라고 당부했습니다.

  회원 가입된 웹사이트마다 각기 다른 비밀번호를 등록하여 개인정보가 유출되더라도 피해를 최소화할 수 있도록 우리들의 작은 관심이 필요하다고 했습니다.

 

 

  사이버수사대는 앞으로도 해킹 등 사이버테러형공격 피해예방을 위하여 관련 기관과 긴밀한 협조를 하여 근본적인 대책을 마련하고 해킹 사범에 대해서는 지속적인 수사를 펼쳐 추가 피해가 발생하지 않도록 하겠다는 약속을 했답니다. ^^

 

  또 다른 A녀가 되지 않기 위해, 우리 모두 지금 당장 비밀번호를 바꾸자고요!!