숙박 O2O(온오프라인연계) '여기어때' 전산망에 침입해 개인정보를 유출하고 수억원을 요구한 일당이 경찰에 붙잡혔다.
경찰청은 유출된 정보를 언론사 등에 알리겠다고 협박하며 6억원을 요구한 일당 5명 중 이모씨(47) 등 4명을 정보통신망법위반·공갈미수 등 혐의로 구속했다고 1일 밝혔다. 경찰은 해외로 도피한 공범 A씨를 추적중이다.
이씨 일당은 올 3월 6~17일 중국인 해커 남모씨(26·구속)에게 의뢰해 '여기어때' 전산망에 침입한 혐의다. 이들은 이용자 91만명 숙박예약정보를 포함, 총 99만명의 개인정보 341만건을 유출한 혐의를 받는다.
경찰에 따르면 이씨와 A씨는 IT업종에 종사하며 알게 된 사이로 '여기어때' 이용자들의 개인정보를 해킹해 돈을 요구하기로 지난해 11월 공모했다.
A씨는 고향이 같아 친해지게 된 알선책 박모씨(34·구속)에게 '여기어때'를 해킹하면 1억원을 주겠다며 해킹할 사람을 구해달라고 부탁했다. 박씨는 지인인 조모씨(31·구속)에게 이를 전달했다. 조씨는 자신이 알고 지내던 중국인 해커 남씨에게 1000만원을 주겠다며 해킹을 의뢰했다.
남씨는 올 3월 '여기어때' 홈페이지를 해킹했다. 이용자들의 숙박예약정보는 물론 회원정보와 제휴점 정보까지 빼냈다.
이씨와 A씨는 남씨로부터 넘겨받은 개인정보파일을 확보하고 '여기어때'에 개인정보 유출사실을 통보했다. 이어 총 6억원 상당 비트코인을 요구했지만 '여기어때'가 응하지 않아 미수에 그쳤다.
돈을 뜯지 못한 이씨와 A씨는 해킹 대가로 약속한 금액을 박씨에게 줄 수 없었다. 박씨는 조씨로부터 해킹 대가금 지급 압박을 강하게 받자 결국 조씨에게 3000만원, 해커 남씨에게 1000만원을 각각 송금했다.
경찰은 일당을 체포하면서 '여기어때'에서 유출된 개인정보 원본파일을 모두 압수했다. 특히 해커 남씨의 하드디스크 등에서는 이번 사건 개인정보 파일 외에도 다른 인터넷 홈페이지에서 유출한 개인정보파일이 다수 발견됐다. 경찰은 추가 수사를 검토 중이다.
경찰 조사결과 올 3월7일까지 숙박서비스를 이용한 사람들의 개인정보는 모두 유출된 것으로 나타났다. 다만 아직까지 '여기어때' 유출 개인정보가 제3자에게 제공된 흔적이나 정황은 발견되지 않았다.
하지만 해외도피 중인 A씨가 '여기어때' 개인정보파일 사본을 보유하고 있는 사실이 확인됐다.
한편, 이번 범죄는 '여기어때' 홈페이지의 보안이 취약하다는 점이 원인이었던 것으로 조사됐다. 관리자 홈페이지에는 공격을 탐지하고 차단하는 체계가 아예 없었다.