금융회사 연쇄해킹 동일범 소행… 범행수법 같고·메일 보낸 IP 주소도 동일

리딩투자증권, 한국전자금융 등 금융기관을 해킹해 돈을 요구한 용의자가 동일인으로 밝혀졌다. 경찰은 태국에 머물고 있는 용의자의 거주지를 파악하고 인터폴에 공조 수사를 요청했다. 증권사들은 고객 사이에서 불안감이 확산되자 일제히 해킹 비상 점검에 돌입했다.

서울 강남경찰서와 마포경찰서는 리딩투자증권, 한국전자금융, S채권추심업체 등 금융기관 3곳과 증권 관련 인터넷 방송국을 해킹한 용의자가 지난 4일, 6일, 11일 태국에 있는 동일한 IP 주소를 통해 협박 메일을 발송한 사실을 확인했다고 19일 밝혔다. 경찰은 이들 사건을 동일범의 소행으로 판단하고 당분간 공조수사를 벌인 뒤 사건을 병합해 수사키로 했다.

경찰 관계자는 “용의자가 관리자 인증을 비정상적으로 통과한 뒤 서버 데이터베이스에 접근하는 방식으로 침투했다”며 “협박 메일을 보내는 방식과 데이터베이스를 모두 엑셀 파일로 정리한 점이 동일하다”고 말했다.

용의자는 국내에서 자영업을 하다 실패한 뒤 5∼6년 전부터 태국에서 살고 있는 것으로 조사됐다. 경찰은 용의자가 해킹 사건 이전부터 대포통장과 대포폰을 사용해 금융 거래를 한 점으로 미뤄 공범이 있을 수 있는 것으로 보고 있다. 경찰 관계자는 “용의자의 인터넷 접속 기록과 출입국 기록을 추적해 태국의 거주 도시를 확인했다”며 “국내에 머물고 있는 용의자의 가족을 상대로 공범 가능성이 있는 친구 등을 확인하고 있다”고 말했다.

대부업체에 이어 증권사마저 해킹되자 고객의 불안감은 극도로 높아졌다. 현대캐피탈 해킹 때와 마찬가지로 업체들이 해킹당한 사실을 언론 보도가 난 뒤 고지하는 등의 부실한 대응 역시 도마에 올랐다.

특히 리딩투자증권의 경우 해커들이 정보 유출에 자주 사용하는 구조화질의어(SQL) 입력을 차단하지 않아 보안 시스템이 쉽게 뚫린 것으로 금융감독원 조사 결과 드러났다. SQL은 데이터베이스에 접근해 원하는 정보를 얻을 때까지 질문을 반복하는 프로그램 언어로 초보적인 해킹 기법에 사용된다. 금감원은 전체 금융회사에 SQL 입력 차단을 지시했다.

‘해킹 비상’에 걸린 증권업계는 긴급 점검, 모의 해킹 테스트 등을 실시했다. HMC투자증권은 정보보호 업체에 의뢰, HTS와 홈페이지에 취약점이 없는지 모의해킹 테스트를 시행 중이다. 임직원 PC와 모든 파일 암호화를 적용했다. 리딩투자증권이 홈페이지를 통해 고객정보가 유출된 것으로 알려지면서 고객정보 DB 접근 통제를 위한 시스템도 다음달 도입할 예정이다. 하나대투, 미래에셋증권 등도 보안전문 자문사를 통해 실제 해킹이 일어났을 때를 대비하는 모의 테스트를 하고 있다.

전웅빈 기자 imung@kmib.co.kr