(씨넷코리아=권봉석 기자) 2017년 9월 이스트소프트 알툴즈 회원의 개인정보를 볼모로 5억원을 요구했던 범인이 지난 연말 붙잡힌 것으로 드러났다.
경찰청 사이버안전국은 10일, 이스트소프트 알툴즈 서비스 회원 16만 명의 개인정보 2천500만 건을 유출하고 “5억 원을 주지 않으면 유출된 정보를 언론사에 넘긴다”며 협박한 피의자 두 명 중 한 명을 지난 연말 붙잡았다고 밝혔다.
피의자 일당은 평소 비트코인 등 가상화폐를 중국에서 구입해 국내에서 웃돈을 받고 팔아왔다. 이들은 여러 웹사이트의 ID와 비밀번호를 저장해 자동으로 로그인해 주는 서비스인 알툴즈에 가상화폐 거래소 ID가 있을 것이라는 생각에 범행에 나섰다.
시스템을 해킹했을 것이라는 당초 예측과 달리 이들이 이용한 수법은 지극히 단순했다. 이미 다른 경로를 통해 유출된 ID와 비밀번호를 알패스 로그인 창에 입력해 성공할 때까지 여러 번 반복했다. 가장 단순하고 초보적인 방법으로 꼽히는 ‘브루트포스’ 기법을 이용한 것이다.
피의자들은 이렇게 빼돌린 ID와 비밀번호 2천500만 건을 이용해 포털 사이트에 접속한 다음 이메일이나 클라우드 스토리지에 남아 있던 신분증과 신용카드 사진을 이용해 대포폰을 개통하기도 했다.
이렇게 개통한 대포폰은 가상화폐 거래소에 접속할 때나 거래할 때 본인 인증을 받는데 쓰였다. 이들이 빼돌린 2.1 비트코인은 당시 시세로는 800만원, 현재 시세로는 그 네 배인 3천 200만원이 넘는다.
경찰은 “신분증, 신용카드, 보안카드 등 중요한 정보가 담긴 사진이 포털에서 제공하는 클라우드 스토리지나 사진 백업 서비스에 자동 저장되지 않도록 주의해야 한다”고 권고했다.
이스트소프트도 10일 공지사항을 통해 “이번 사건은 서버에 직접 침입한 것이 아니라 ID를 도용한 부정 접속이며 개인정보 침해 사실을 확인 페이지에서 조회할 수 있다“고 설명했다.
