충남청, 대형 웹하드업체 크래킹 및 비밀유출 피의자 30명 검거

인터넷상 대형 웹하드업체 ‘S’사의 안티클럽이 퇴직 직원으로부터 핵심프로그램소스와 유료회원정보 30여 만건을 전달 받고 이를 토대로 접근권한 없이 관리자 계정으로 시스템에 침입, 결제인증을 무력화시키는 프로그램인 악성프로그램과 비방성 사용자제작컨텐츠(UCC)를 제작·유포, 도배게시폭탄 등을 사용하여 업무를 방해하는 사건이 발생해 가해자 전원이 경찰에 검거됐다. 

충남경찰청(청장 조용연) 사이버수사대는 7월 19일 대형 웹하드업체 크래킹(불법적인 방법으로 전산망에 침투해 피해를 발생시키는 행위) 및 비밀유출 등의 혐의로 피의자 30명(1명 구속, 29명 불구속 수사)을 검거하였다고 밝혔다.

이들 가운데는 S사의 안티클럽 회원이 상당수 포함되어 있으며, 자신들이 활동하던 클럽이 갑자기 A사에서 S사로 이전한 것에 불만을 품고, 다양한 방법으로 피해업체에 피해를 준 것으로 조사됐다.

특히, 범행 과정에서 S사의 퇴직직원의 중요 정보 제공, 대형 인터넷 게임업체 보안팀 근무자(정통부 주최 해킹방어 대회 수상자, 해킹 관련 서적 발간)와 고교생으로서 정보보호올림피아드 출전자 등 다수의 청소년들이 개입되어 있는 것으로 확인됐다.

이번에 검거된 피의자 현황은 안티클럽 운영자 J씨(43), 프로그램 및 유료회원정보 유출자 K씨(28), 인터넷 게임업체 정보보안관리자 P씨(해킹방어대회 수상, 24), 악성프로그램 제작자 J씨(정보보호올림피아드 출전, 16, 고교2년), 도배게시폭탄 제작자 L씨(41), 비방성 UCC제작자 H씨(28), 유료회원정보 불법사용자 B씨(31) 등 8명, 악성프로그램 유포자 Y씨(여, 21)등 총 17명에 달한다.

이번 사건의 경위를 살펴보면, 지난 2월 4일 경 인터넷상 대형 웹하드업체(동종업계 수위)인 S사의 개발자인 피의자 K씨(28)는 강제로 퇴사당한 것에 앙심을 품고, 회사에 있어 가장 중요한 웹하드 관련 핵심프로그램 소스일체와 유료회원정보 30만여건을 유출하고, 이를 안티클럽(40여명)의 운영자인 피의자 J씨(43세, 사기등 7범, 구속) 등에게 유포했다.

평소 인터넷 웹하드업체 A사에 있던  ○○클럽회원 18만 명이 갑자기 피해업체 S사로 이전하면서 자신한테 한마디 말도 없이 처리한 것에 대해 좋지 않은 감정을 가지고 있던 피의자 J씨(43, 구속)는 이를 계기로 자신이 운영하는 안티클럽회원 40여 명에게 A사에 피해를 줄 목적으로 K씨로부터 건네받은 관리자 아이디나 핵심프로그램 소스를 이용, S사에 무단 침입하여 정황을 살피는 한편, 회원들에게 악성프로그램 제작, 도배게시폭탄 등의 업무방해 등을 지시했다.

피의자 P씨(24)는 정보통신부 주최 해킹방어대회에서 수상하고, 해킹서적을 출간한 자로 프로그램 델파이(Delphi)를 이용하여 피해업체 등 10여 개의 웹서버를 해킹하고 인터넷 M사의 경품이벤트에서 정상적인 방법으로는 경품을 지급받을 수 없게 되자 쿠킹제어해킹 기술을 이용하여 포인트를 강제적으로 증가시켜 경품을 제공받는 등 50여 회에 걸쳐 재산상의 이득을 취했다.

피의자 J씨(16, 고교2년)는 학교대표로 정보통신부 주최 제5회 정보보호올림피아드대회(해킹대회)에 출전한 학생으로 피해업체 S사의 유료서비스의 결제단계를 건너뛰어 무료로 사용할 수 있도록 함으로써 결제인증시스템을 무력화시키는 악성프로그램(일명 무료패치프로그램)을 직접 제작하여 유포한 혐의를 받고 있다.

피의자 L씨(41)는 비방성 게시글을 반복하여 게재하는 자동게시프로그램(일명 도배게시폭탄)을 제작·유포하여 단시간에 같은 게시물 1천여건을 게재한 혐의다.

또 피의자 H씨(28)는 피해업체의 관리자를 비방하는 사용자제작컨텐츠(UCC:User Created Contents)를 총 12회에 걸쳐 제작·유포하는 등으로 명예훼손했다.

한편 피의자 B씨(31)등 8명은 피의자 K씨(28세) 등으로부터 유료회원계정을 수십개씩 전송받아 정당한 권한없이 유료회원서비스를 사용하는 등 부정한 방법으로 재산상의 이익을 취한 바 있고, 피의자 Y씨(여, 21)등 17명은 피해업체의 게시판에 비방성 게시글을 작성했다는 이유로 강제로 탈퇴를 당하자 이에 앙심을 품고 결제인증을 무력화시키는 프로그램인 악성프로그램을 복제하여 사용하고 유포한 혐의를 받고 있다.

해당 피의자들은 2개월여간에 걸쳐 다양한 방법으로 피해업체의 업무를 방해해 피해업체는 30여 억원의 피해가 발생한 것으로 밝혀졌다. 이들의 범죄는 현행 컴퓨터프록램보호법상 프로그램저작권침해에 해당되며 정통망법상 비밀침해·악성프로그램제작 및 유포 등에 해당된다. 또 형법상으로는 컴퓨터 등 업무방해죄와 이용사기죄에 해당돼 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처하게 된다.

충남청 사이버수사대 관계자는 “이번 사건은 사이버 공간의 역기능적인 특성을 단적으로 보여줄 수 있는 종합판으로써 진정한 사이버 강국을 실현키 위해서는 해결해야 할 많은 과제가 있음을 시사해 주고 있다”고 말했다. 아래 도표는 범죄 구성도이다.

이들은 사이버상 아이디나 닉네임만으로 의사소통함으로써(비대면성, 익명성) 실제 대학교수나 IT전공자가 아님에도 IT전공자이며 대학 강사라며 신분을 속이는가 하면 피해 업체에 대해 3?1절 기념 이벤트로 서버를 마비시키고, 비방 UCC를 동영상 사이트에 게재하는 식의 거침없는 행각들을 일삼은 것으로 드러났다.

범행 동기 역시 갑작스런 클럽 이전에 대한 반발심과 자신의 카페나 블로그 등의 방문자수를 늘리기 위한 것으로 드러나 피해 업체의 막대한 피해 상황에 대해선 전혀 고려하지 않았다고 경찰측은 밝혔다.

또 경찰관계자는 “특히 유명 게임 업체의 보안팀에서 근무중인 K씨(정통부 주관 해킹방어 대회 수상 경력자, 해킹 관련 서적 출판)는 단순 강의자료로 활용할 목적으로 피해업체를 비롯한 10개 사이트에 권한없이 침입하고, 불법적인 경품 당첨 프로그램을 제작, 50여 차례에 걸쳐 경품 이벤트에 당첨되어 재산상 이득을 취하는 등 검거된 피의자 대부분이 불법사실에 대한 범죄의식이 낮은 것으로 확인됐다”고 말했다.  

한편 결제 인증을 무력화시키는 악성프로그램(일명 무료패치프로그램) 제작자 중 한 명은 고교 2년생(2007년 정보보호올림피아드 대회 출전)이고, 이와같은 악성프로그램을 배포한 상당수는 중고등학생으로 사이버범죄에 청소년들이 무방비로 노출되어 있는 것으로 나타났다. 

경찰청 관계자는 “지난 2005년부터 일부 대학에서 인터넷 윤리 과목을 교양 과목으로 채택하였으나 대부분의 대학, 초중고에서는 별도의 윤리과정이 없는 것도 문제”라며 “이번 사건에도 악성프로그램 제작자가 정보보호올림피아드에 출전하였던 고교생이었고, 유포자의 대부분이 청소년인 점을 감안할 때 인터넷 윤리 교육은 나이가 어릴 수록 더욱 절실한 실정”이라고 강조했다.

또 그는 “IT기술자들은 전문 분야에 대한 테크니션으로서 법률에 대한 이해가 떨어지는게 사실이고, 따라서 특정 목적(강의자료, 보안테스트 등)을 위해서 불법적인 방법을 서슴없이 자행하고 있는 것이 현실이므로 법률의 테두리 안에서 프로그램이나 기술을 개발할 수 있도록 법 준수의식을 강화해야 할 것”이라고 덧붙였다. 

특히 이번 사건은 내부자에 의한 정보유출이 큰 결과를 가져온 것으로 경찰측은 보고 있다. 웹의 특성상 완벽한 보안이란 기대키 어려우나, 내부자에 의한 해킹은 소위 ‘관리적 보안’을 소홀히 한데서 비롯되며 이번 사건의 경우와 같이 내부자에 의한 정보유출사고의 경우 특별한 동기가 있고 내부기밀을 잘 알고 있어 외부자에 의한 경우보다 치명적인 피해가 발생하는 경우가 많아 전산망 운영시 퇴직자가 알고 있는 시스템 및 계정정보를 퇴직과 동시에 변경하는 등 관리적 보안을 강화해야 한다.

경찰에서는 이 사건이 사이버 공간의 역기능적인 특성을 보여주는 종합판으로 해석하고, 사이버윤리의식 강화, IT기술자들에 대한 법준수 의식 강화, 웹하드나 P2P업체 운영자의 적법한 Contents 개발 노력, 관리자 보안 철저, 인터넷 이용 범죄 처벌규정 강화 등의 해결책을 제시했다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>