• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안 톺아보기] 명문대 출신 프로그래머, 왜 그랬을까? 2014.11.07

피의자 김모 씨, 이모 씨에게 지난 1월 취약점 분석하다 범죄로  
온라인결제 취약점 악용한 신종사기...명문대 출신 프로그래머 범행  

온라인결제 쇼핑몰·PG사 보안 부실, 보안윤리 문제 부각  


[보안뉴스 김경애] ‘참을 인(忍)’자를 마음에 세 번 새기면 무슨 범죄가 생기겠는가. 최근 들어 화이트해커, 프로그래머, 정보보호관련 종사자들이 사이버범죄의 유혹에 넘어가 범죄에 가담하거나 해킹을 저지른 사건들을 보면 이 말이 절로 생각난다.

 


경찰청이 7일 밝힌 온라인결제 취약점을 이용해 부당이득을 챙긴 프로그래머 김모 씨(남, 27세)와 이모 씨(남, 중국인)의 검거 사건도 마찬가지다.


김모 씨는 취약점을 알아내 이모 씨에게 제공하는 대가로 700만원을 받았으며, 이모 씨는 지난 1~3월까지 입수한 취약점을 이용해 총 840여회에 걸쳐 7000만원의 부당이득을 챙겼다.


특히 김모 씨의 경우, 명문대 컴퓨터공학과 출신의 6년 경력 프로그래머로 알려져 있으며, 전문가가 범행을 저질렀다는 점에서 관심이 집중된다. 그는 취약점을 찾아주는 대가로 700만원을 받아 챙긴 혐의를 받고 있다.


왜 그랬을까. 명문대학교 출신의 전도유망한 청년이 뭐가 아쉬워 범행을 저질렀을까. 이번 사건을 접하면서 가장 먼저 드는 생각이다. 올해 초 카드사 사태의 경우 협력업체 직원이 범행을 저질렀고, 컴퓨터에 대해 잘 아는 총망 받는 어린 학생들도 아무 범죄의식 없이 해킹을 일삼는다.

이에 본지는 이번 사건과 관련해 경찰청 사이버안전국 정석화 경정에게 사건 경위를 들어봤다.


김경애 기자(이하 김): 우선 이번 사건에서 피의자 김씨가 어떤 사람인지 궁금합니다.

정석화 경정(이하 정): 김모 씨는 IT 방위산업체에서 특례보충 군필로 근무했었는데요. 여러 IT 업체에서 근무한 경력이 있습니다. 현재는 프리랜서이며, 프로그래머 수준은 이모씨 보다 더 높습니다.


김: 혹시 정보보안 업체에서도 근무한 경력이 있나요?

정: 아뇨, 그렇지는 않습니다. IT 업체 중심으로 근무했습니다.


김: 김모 씨와 이모 씨의 관계가 궁금한데요?

정: 둘은 지난 2009년부터 알고 지냈어요. 김모 씨가 방위산업체 근무 당시 중국 출장을 갔는데 업무 관계자들을 만나면서 자연스럽게 알게 되었습니다. 그러다 작년 말 이모 씨에게 온라인 쇼핑몰의 결제 취약점을 파악해줄 수 있냐는 의뢰를 받았다고 합니다. 이모 씨는 현재 중국에 있으며, 검거를 위해 중국 관계당국과 공조수사 중입니다. 한국말을 잘하고, 한국이름도 있어 조선족으로 추정됩니다.


김: 범행은 어떤 식으로 이뤄졌나요?

정: 1차 범행은 먼저 정상 결제를 정확히 분석한 뒤, 올해 1월 취약점을 1차례 넘겨준 이후 이모 씨가 120만원 정도의 부정결제 범행을 저질렀습니다. 2개월 후인 지난 3월에는 이번 사건의 취약점을 건네줬습니다. 이렇게 취약점을 제공하는 대가로 김모씨는 부당결제 금액의 10%를 받았습니다.


김: 1월에 넘겨준 취약점을 통한 범행은 어떤 식으로 이뤄졌나요?

정: 온라인쇼핑몰 패킷단 분석을 통해 취약점을 찾아냈어요. 이는 결제 승인 이후, 결제시 전송했던 정보를 수정·변조해 재전송하면 PG사 뒷단에서는 취소되고, 쇼핑몰 사이트에서는 취소가 되지 않는 취약점입니다.


김: 1차 범행에서 해당 온라인쇼핑몰은 이 사실을 몰랐나요?

정: 사고 발생 이틀 만에 발견했어요. 규모가 작고 수기로 작성·관리해왔기 때문에 결제과정에서 문제가 있다는 사실만 알고 있었지 사고 원인을 찾지 못해 신고가 이뤄지지 않았습니다.


김: 그렇다면 범행은 어떻게 발각됐나요?

정: 가맹점을 통해 발각됐어요. 일반적으로 오프라인에서 결제한 카드영수증을 보면 승인번호가 있듯이, 온라인에서는 거래고유번호를 통해 거래내역을 확인할 수가 있거든요. 결국 PG사가 결제 승인가맹점과 취소요청 가맹점이 동일한지 제대로 확인하지 않고 그냥 취소를 해준 겁니다.


김: 범행수법은 기존과 어떻게 다른가요?

정: 결제관련 부정시도는 2006년부터 지속적으로 발생하고 있었습니다. 이를테면 천원으로 10만원 상당의 물건을 구입한다든가 공짜 승인이 나도록 결제승인에 포커스를 맞춰 범행이 이뤄졌죠. 그러나 이번 사건의 경우 결제취소 방식으로 수법이 바뀌었다는 점에서 주목해야 합니다.


김: 이번 사건의 범행동기가 궁금합니다.

정: 아마도 지속적으로 유지된 친분관계가 경제적 이익과 취약점 제보라는 측면과 맞물리면서 범행이 이루어진 것으로 보입니다.


이번 사건은 온라인쇼핑몰과 PG사간의 보안 문제와 함께 명문대생 출신의 전문 프로그래머가 범죄를 저질렀다는 점에서 보안윤리 문제가 또 다시 도마 위에 오르고 있다.

이와 관련 중앙대학교 이창무 교수는 “모든 범죄는 기본적으로 인간에 내재돼 있는 충동억제장치인 자기통제가 제대로 되지 않아 발생하는 것”이라며 “잡힐지 안 잡힐지 모르는 불확실한 미래보단 당장 눈앞에 생기는 이익에 더 많은 가치를 두었기 때문”이라고 말했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>