그룹 방탄소년단(BTS)의 정국 등 국내 재력가들의 자산을 탈취한 혐의를 받는 해킹조직 총책 중국 국적 A씨가 지난 24일 서울 서초구 서울중앙지법에서 열린 구속 전 피의자 심문(영장실질심사)에 출석하고 있다. 연합뉴스그룹 방탄소년단(BTS) 정국과 대기업 회장 등 국내 재력가 등을 겨냥해 개인정보를 해킹한 후 알뜰폰을 무단으로 개통하고 390억 원을 빼돌린 국제해킹조직이 경찰에 붙잡혔다.
서울경찰청은 28일 국제해킹조직 총책인 중국 국적 A(35)씨와 B(40)씨, 국내외 조직원 등 총 18명을 검거했다고 밝혔다.
이들은 지난 2023년 7월부터 올해 4월까지 공공·민간 온라인 사이트를 해킹해 확보한 국내 저명한 재력가들의 개인정보를 이용해 알뜰폰을 부정 개통한 뒤, 피해자의 금융계좌와 가상자산 거래소 계정에 침입해 자금을 빼돌린 혐의를 받는다. 피해자 16명에게서 390억 원을 뜯어냈고, 또 다른 피해자 10명에 대해서 250억 원을 빼돌리려고 시도했지만 미수에 그쳤다.
특히 국내 유명 재력가들을 범행 대상으로 삼았다. 교정시설에 수감된 기업 회장, 해외에 체류 중이거나 군에 입대한 연예인 등 휴대폰 무단개통에 바로 대응하기 어려운 재력가들을 노렸다. 해킹 피해자만 총 258명, 피해금액을 합치면 640억 원에 달한다.
총책과 조직원이 나눈 대화 재구성. 서울경찰청 제공피의자들은 국내 온라인 서비스에서 주민등록번호 실명인증, 휴대폰 본인인증, 신분증 인증 등 비대면 인증이 활성화돼있다는 점을 이용했다. 수년간 이같은 비대면 인증 서비스를 제공하는 웹사이트를 해킹해 개인·금융·인증 정보를 해킹해 데이터베이스를 구축했다. 이를 활용해 피해자 명의로 유심을 무단 개통해 확보한 본인인증 수단을 통해 피해자의 금융계좌와 가상자산 거래소 계정에 침입해 자금을 이체하는 방법으로 범행을 저지른 것으로 드러났다.
총책 A씨가 태국에 체류 중이라는 인터폴 첩보를 입수한 경찰은 태국 경찰과 합동 작전을 펼쳐 방콕에 있는 호텔을 은신처로 삼아 범행 중이던 A씨와 B씨를 동시에 검거했다. A씨는 지난 22일 한국으로 송환했고, 또 다른 총책 B씨도 현재 범죄인 인도 절차에 따라 국내 송환절차를 추진 중이다.
경찰은 이번 사건을 "온라인 본인인증체계의 신뢰를 위협하고 국민의 재산과 개인정보 보호에 심각한 위험을 초래할 수 있는 구조적 문제점을 드러낸 사례"라며 "비대면 인증 체계 전반에 잠재된 보안 취약요소에 대해 더욱 철저한 점검과 개선 등 보안 강화가 필요하다"고 평가했다. 이어 "총책으로부터 압수한 전자기기를 면밀히 분석해 남은 추가 범죄와 검거되지 않은 조직원에 대해 계속 수사할 예정"이라고 덧붙였다.