웹셀업로드 해킹 수법으로 680만건 빼내고 620만건 구매해 재판매

개인정보 보호조치위반 해킹피해업체 관계자 32명도 검거

부산지방경찰청 사이버수사대는 개인정보 1,300만 건을 판매한 일당을 붙잡았다고 9일 밝혔다.

중국해커와 공모한 이 일당은 국내 금융·대부업체, 쇼핑몰, 성인·도박사이트 등 378개 웹사이트를 ‘웹쉘 업로드 해킹’ 수법으로 해킹해 개인정보 680만건을 빼내고, 미리 인터넷에서 구하여 보관하고 있던 620만건과 함께 약 1,300만건을 5회에 걸쳐 판매한 3,260만원 상당의 부당이득을 취한 혐의를 받고 있다.

경찰에 따르면, 피의자 오 모씨(37세, 인천 연수구), 양 모씨(29세, 전북 익산시)는 인터넷 메신저프로그램을 이용하여 타인의 개인정보를 수집·판매하여 오던 중, 피의자 오 모씨가 인터넷을 통해 알게 된 중국 조선족 해커와 공모, 중국 해커에게 국내 보안이 취약한 웹 사이트를 지목해주고, 중국 해커는 그 사이트를 해킹하여 시스템에 관한자료와 개인정보자료를 넘겨주면 피의자는 이를 재차 해킹, 관리하면서 불특정다수인에게 개인정보를 판매하여 그 수익금을 나눠가지기로 역할 분담한 것으로 전해진다.

이들은 2009년 4월 30일부터 11월30일까지 중국 해커가 국내 정보통신망인 A캐피탈, C캐피탈 등 금융·대출사이트, 방송스포츠정보 제공사이트, 불법도박사이트, 중고자전거매매 사이트, 성인정보사이트, 일반 쇼핑몰 사이트  등 총 378개 사이트를 웹셀 업로드 수법으로 해킹했다.

이들 일당이 이용한 웹쉘 업로드(web-shell upload) 해킹수법은 웹서버의 파일업로드(파일첨부) 기능의 취약점을 이용해, 웹쉘(백도어)을 서버에 침투시킨 후 웹브라우저를 통해 백도어를 실행시키면 서버관리자처럼 관리페이지를 생성시켜 개인정보를 빼내는 방법이다.

경찰은 이들 일당 중 해킹사범 2명을 검거해 그중 1명은 영장신청하고, 나머지 1명은 불구속 입건했다고 전했다. 아울러 해킹피해업체 중 고객 개인정보의 기술적·관리적 보호조치를 소홀히 한  48개 업체를 적발해 그중 20개 업체·관리자 등 32명을 불구속 입건하였으며, 나머지 업체에 대해 계속 수사 중이라고 밝혔다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>