전송 정보에 ‘-’값을 입력하는 기발한 방법 착안해 금액 부풀려

범죄 수익금 몰수규정 없는 법률적 미비 개선 필요

[보안뉴스 김정완] 경찰청 사이버테러대응센터는 이동통신사에서 운영하는 모바일 상품권 구입·선물 사이트의 취약점을 알아내고, 모바일 상품권 ‘선물하기’ 과정에서 송·수신되는 데이터 중 금액 정보를 해킹해 바꾸는 방법으로 금액을 부풀린 후 이를 백화점 상품권으로 전환하는 등 총 8회에 걸쳐 7억 3,300만원을 편취하고, 1억원 상당에 대해 미수에 그친 피의자 4명 중 2명을 검거해 1명을 구속하고 나머지 2명을 추적 중이라고 10일 밝혔다.

경찰에 따르면, 피의자들은 올해 2월25일부터 5월1일까지 모바일 상품권 ‘선물하기’ 과정에서 전송되는 금액 정보를 ‘-’로 바꾸어 자신의 금액을 늘린 후 L백화점 상품권으로 전환했고, 명동 일대의 상품권 취급소에서 5% 상당 수수료를 제외한 현금으로 교환해 그 돈으로 서울 강남 고급빌라에 은신처를 마련하고, 고급 수입차량을 구입하는 등 호화로운 생활을 해온 것으로 확인됐다.

또한 지난 2007년경에도 피의자들은 쇼핑몰, 아이템 거래사이트 등 10개 사이트를 대상으로 구매가의 1%만을 결제하면서 모든 금액이 결제된 것처럼 데이터를 변조해 배송되는 물품을 가로채는 수법으로 3억원 상당의 재산상의 이득을 취득했으며, 이에 따라 현재 집행유예 중임에도 동일한 유형의 범행을 저지른 것이다.

이번 사건의 특징을 살펴보면, △쇼핑몰 사이트 등의 전송정보가 해킹프로그램에 의해 그대로 노출 △수억원 상당의 백화점 상품권 구입이 단순히 핸드폰 소지만으로도 가능 △‘컴퓨터 등 사용사기’ 혐의에 범죄 수익금 몰수규정 없는 법률 미비 등의 점이 두드러진다.

피의자들은 사전에 해킹 프로그램을 이용해 각종 사이트들의 취약점을 지속적으로 검색해 대상 사이트 선정했으며, 특히 각종 결제과정에서 암호화되지 않은 데이터가 전송됨에 따라 이를 해킹프로그램으로 데이터를 변경하고 재전송이 가능했던 것으로 드러났다.

또한 이들은 증액시킨 금액을 모바일 백화점 상품권으로 전환해 해당 백화점에 직접 방문, 수억원 상당의 상품권 수령하는 수법을 이용했는데, 모바일 상품권이 충전된 핸드폰만으로도 아무런 인적사항 확인 없이 실물 상품권 전환이 가능해 뇌물수수 등의 악용 소지가 짙다.

특히 이들은 범행 수익금으로 강남 소재 고급빌라를 보증금 1억원의 월세로 마련하고, 1억5,000만원 상당의 고급 수입자동차를 구입하는 한편 주식투자, 전문 헬스 트레이너 고용 등 호화로운 생활을 영위한 것으로 드러났다.

그럼에도 ‘사기’ 혐의와는 달리 ‘컴퓨터 등 사용사기’ 혐의에 대해 범죄 수익금 몰수규정이 없는 법률적 미비로 몰수 불가능하다는 것이 경찰 측의 설명이다.

한편 이와 관련 경찰은 피해사이트와 동일한 취약점이 노출되거나 노출 우려가 있는 사이트에 대해 보안을 강화하도록 권고하는 등 각별한 주의를 당부하면서 향후 사이트의 취약점을 이용하는 범죄에 대해 지속적으로 단속을 강화해 나갈 방침이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>