原電 해커, 스미싱으로 돈 빼갔다

한국수력원자력 원전 도면을 유출한 해커가 사이버 공격에 사용한 가상사설망(VPN) 이용료를 평범한 시민이 대신 내고 있었던 것으로 확인됐다. 해커는 스미싱(문자메시지를 통한 악성코드 전이) 방식으로 공인인증서를 탈취해 매달 몇 만원씩 몰래 빼냈다. 대납자는 검찰 수사가 이뤄지기까지 자기 돈이 해커의 ‘소액결제’에 동원됐다는 사실을 몰랐던 것으로 알려졌다.

그동안 온갖 경로로 유출돼 시중에 퍼진 국민의 개인정보가 한수원 해킹 도구로 쓰인 것이다. 검찰은 “이런 피해를 막으려면 각종 포털 사이트의 아이디(ID)를 바꾸는 등 스스로 개인정보 관리에 나서야 한다”고 당부했다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 한수원 해커 집단인 ‘원전반대그룹(Who Am I)’이 국내 VPN 업체 3곳에 이용료를 결제하며 사용한 은행 계좌들을 추적한 결과 업체 1곳에 명의가 도용된 계좌로 매달 약 6만원씩 납부된 사실을 확인했다고 29일 밝혔다. 검찰은 나머지 VPN 업체 2곳의 이용료 결제 계좌도 추적 중이다. 검찰 관계자는 “구체적인 결제 내역은 여전히 확인 중이지만 일단은 (계좌) 도용 피해로 추정된다”고 말했다.

대납 사실이 확인된 계좌의 주인은 원전 자료 폭로에 동원됐던 포털 사이트 ID 주인처럼 해커와 아무 연관이 없으며, 장기간 엉뚱한 곳에 자동이체를 하고 있었지만 피해 사실을 전혀 몰랐던 것으로 알려졌다. 해커는 시중에 나도는 개인정보를 입수해 피해자 휴대전화에 악성코드가 담긴 인터넷 링크(URL)를 보낸 것으로 추정된다. 이 링크를 누르면 휴대전화에 저장돼 있는 공인인증서를 탈취해가는 기초적인 스미싱 방식이다.

한수원을 공격한 해커는 약 2년간 VPN 업체의 유료 서비스를 이용하며 인터넷 프로토콜(IP) 추적이 어렵도록 IP 흔적을 ‘세탁’해 왔다. 그동안 여러 계좌를 동원했을 가능성이 커 해커의 VPN 이용료 대납 피해는 현재 확인된 것보다 훨씬 많을 수 있다. 검찰 관계자는 “스미싱으로 금전 피해를 입는 사례는 신분증 위조를 통한 대규모 휴대폰 개통 사건 등에서 계속 적발돼 왔다”고 설명했다.

이번 한수원 해킹 과정에서 드러난 스미싱 금전 피해의 뿌리는 그동안 각종 형태로 대규모 유출된 개인정보일 것으로 분석된다. 연초 카드 3사에서 1억건이 넘는 개인정보가 유출된 뒤 민간 정보보안 전문가들은 “해커가 모든 정보를 손에 쥐었음을 인정해야 한다” “주민등록번호 등 모든 개인정보를 다시 부여하고 즉시 암호화하는 것만이 대응책”이라고 경고했다.

실제로 유출된 개인정보들이 한수원 해커 집단을 가려주는 ‘방패’로 쓰인 정황은 곳곳에서 포착된다. 해커 집단은 지난 9일부터 한수원 직원들에게 ‘시한폭탄 메일’을 보낼 때 다음 한메일, 구글 지메일 등 200개가 넘는 사설 이메일 계정을 도용했다. 빼낸 자료를 인터넷에 게시할 때는 포털 사이트 가입자의 정보를 이용했다.

검찰은 잠재적 피해 예방을 위해 자신의 개인정보를 갱신할 필요가 있다고 조언했다. 네이버 등 포털에서 제공하는 최근 3개월치 접속 기록을 확인해 명의도용 여부를 파악해보라는 당부도 했다. 검찰 관계자는 “비밀번호뿐 아니라 ID도 아예 새로 만드는 게 좋을 것”이라며 “이제는 명함에 ID를 노출하는 것조차 자제해야 한다”고 말했다.

이경원 기자 neosarim@kmib.co.kr