인천경찰청은 SQL인젝션 등의 해킹 기법으로 증권사 홈페이지에 침입해 개인정보 30만건을 해킹하는 등 3300만건의 개인정보를 부정한 방법으로 취득한 A(28)씨를 정보통신망법 위반 혐의로 구속·기소했다고 10일 밝혔다.
SQL인젝션은 보안상의 허점을 이용해 악의적인 명령이 실행되게 하는 공격방법이다.
경찰은 A씨의 노트북과 외장하드에서 20여개 업체의 개인정보 파일을 발견해 유출된 업체의 개인정보 안전조치의무 등을 확인해 암호화 조치 및 내부관리계획을 수립하지 않은 8개 업체를 입건했다.
A씨는 독학으로 해킹을 배운 실력파로 지난해 10월 중국동포 B씨와 함께 금융감독원에서 의뢰한 '상속인 금융거래정보 서비스' 30만여건의 신청자 개인정보를 증권사 서버에서 해킹했다.
앞서 유진투자선물은 지난 7월 말 자사 홈페이지에 올린 개인정보 해킹 관련 공지사항을 통해 "지난 25일 회사 서버에 저장돼 있던 상속인 금융거래조회 민원 서비스의 신청인 등의 개인정보 일부가 해킹돼 유출됐다"고 밝힌 바 있다.
A씨는 지난 5월 중국으로 건너가 중국인들이 운영하는 해커방에서 3300만건의 개인정보를 불법으로 취득하기도 했다.
3300만건의 개인정보 중에는 남양유업(100만건)과 탐앤탐스(36만건), 미구하라(10만건) 등의 개인정보도 들어있었다. 다만 이들 업체의 개인정보는 A씨가 해킹한 것이 아니고 중국 해커들로부터 A씨가 취득한 것이다.
A씨는 취득한 개인정보로 사설 선물사이트의 홍보문자를 발송하거나, 커피전문점의 기프트카드(30건), K문고 G카드(100건) 소액결제 사기(스미싱) 등 2차 범행에 사용해 2천만원을 벌어들인 것으로 전해졌다.
인터넷 카페와 블로그에 '해킹 디비(개인정보) 판매'라고 게시했다가 경찰에 덜미를 잡힌 A씨는 지난 2014년 9월에도 이른바 '청첩장 스미싱' 범죄로 징역형을 선고받기도 했다.
경찰은 이번 스미싱에 가담한 C(28)씨와 A씨로부터 불법으로 개인정보 100만건을 인수받은 D(21)씨도 구속·기소했다.
경찰은 다만 D씨가 불법으로 건네받은 개인정보로 추가 범행을 한 정황은 아직 확인하지 못했다고 밝혔다.