• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

게임사 내부직원, 서버 해킹해 32억여 게임머니 편취 2010.03.04

원격으로 사내 컴퓨터 경유 자사 DB서버 해킹, 2년간 32억원 가로채


서울지방경찰청 사이버범죄수사대는 4일, 외부에서 게임사 사내 PC를 경유해 원격으로 자사의 DB서버에 침투하고 데이터를 조작, 게임머니를 만들어 자신의 ID에 부여해 이를 게임머니 중개상을 통해 현금화하는 방법으로 32억여원의 게임머니를 편취한 일당 3명을 검거했다고 밝혔다.

 

▲사이버머니 해킹 및 현금화과정 흐름도. @서울지방경찰청 사이버범죄수사대.

 

경찰은 지난 2007년 11월부터 최근인 2009년 12월까지 약17만 여회에 걸쳐 총 32억여원의 게임머니를 편취한 일당 3명은 상습컴퓨터등사용사기죄 등의 혐의로 검거됐으며, 주범 A(26세, 남)를 구속하고, 해킹 게임머니를 세탁해준 아이템 중개상 C(30세, 남) 등 2명을 불구속 입건했다.


경찰에 따르면, 피의자 A는 게임사의 게임서버 유지보수담당자로 적발을 피하기 위해 외부에서 사내 PC를 경유해 침입했으며, 타인의 주민번호를 이용해 허위 ID를 생성하는 등 140여개의 ID를 동원해 게임머니를 분산 유출하는 치밀함을 보였다고 한다.


또한 피의자들은 해킹한 다량의 게임머니의 현금화를 위해 유명 아이템거래사이트의 중개상에게 처분한 것으로 드러났다.


이에 경찰 관계자는 “본건 외에도 해킹된 게임머니가 아이템중개상을 거쳐 현금화되는 점에 착안, 유명 아이템거래사이트에 대한 모니터링을 강화하는 등 게임머니 해킹사범을 계속 단속할 예정”이라고 밝혔다.


내부직원에 의해 이루어진 해킹사건

특히 이번 사건은 서버유지보수 담당 프로그래머가 주도한 해킹사건이란 점에서 다시금 내부직원에 대한 정보보호 인식 및 제고의 필요성은 물론 그에 대한 기업의 내부직원에 대한 정보보호 활동이 필요하다는 점을 재차 부각시켜 주고 있다.


본건 피의자중 주범 A(26세, 남)는 피해 게임사의 서버 유지·보수 담당자로, 평소 회사 서버의 보안관리상태에 대한 사전지식을 이용하여 해킹을 할 수 있었으며, 이전에 근무하던 게임사의 동료 B(30세, 남)와 공모해 범행을 실행했다. 특히 내부 PC 경유를 통한 서버침투 등 치밀한 범죄를 벌였는데, 피해회사 DB서버는 외부의 침입을 차단하기 위해 내부 PC를 통해서만 접속이 가능하도록 보안설정이 돼있으나 피의자는 외부에서 회사 내의 컴퓨터에 접근해 이를 경유해 서버에 침투함으로써 사측의 보안관리를 무력화시켰다.


또한 자신명의의 ID에 사이버머니가 부여될 경우 회사의 의심을 받을 수 있음을 우려해, 인터넷을 통해 검색된 타인의 주민번호를 이용·생성한 ID를 이용하는 등 총 140여개의 ID에 분산해 게임머니를 배정함으로써 추적을 따돌렸다는 것이 경찰 측의 설명이다.


해킹해 탈취한 게임머니 현금화해 호화로운 생활 누려

그리고 피의자들은 해킹한 액면가 32억여원의 게임머니를 아이템거래사이트에서 알게 된 중개상에게 액면가 1만원당 약 5천5백원에 판매하고 중개상은 이를 다시 약 6천원에 일반 구매자에게 판매하는 방식으로 현금화했는데, 이는 현재 액면가 1만원당 약 8천원에 거래되던 것을 이들 피의자들의 저가 판매로 당시 시세가 약 6천원으로 떨어지는 사태까지 발생하기도 했다.


특히 경찰에 따르면, 이들 피의자 A, B는 본건 사이버머니의 현금화를 통해 각각 8억원이 넘는 부당이득을 취득한 것으로 밝혀졌다 .이들은 각 취득한 돈으로 고가 수입 승용차를 구입하여 운행하고, 서울 강남에 전세아파트에 입주했으며, 수시로 해외여행을 하는 등 호화생활을 누린 것으로 드러났다.


아이템거래사이트의 지속적인 모니터링 등 단속 강화 필요

이와 관련 아이템거래사이트에 대한 지속적인 모니터링 등 단속 강화가 필요하겠다. 지난 1월 10일 대법원의 거래중개사이트를 통한 게임머니 거래행위의 게임산업진흥에관한법률위반에 대한 무죄판결(배팅 또는 배당의 수단이 되거나 우연적인 방법으로 획득된 게임머니, 해킹된 게임머니의 경우에는 같은법으로 처벌 가능)이 있은 가운데, 본건 외에도 최근 발생하는 신용카드 인터넷 부정결제사건 등에서 아이템거래사이트를 통해 범인들이 취득한 게임(사이버)머니와 아이템 등을 현금화하는 경우가 빈발하고 있다.


이에 경찰은 “이를 착안해 아이템거래사이트에 대한 모니터링을 강화해 아이템거래상들의 방조행위를 적극 검거하는 등 게임(사이버)머니 해킹사범을 지속적으로 단속할 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>