홈플러스 “전산 오류”라더니 모바일 상품권, 中 해커들에 뚫렸다

모바일 상품권 잔액이 ‘0원’으로 변하는 피해를 일으켰던 홈플러스 모바일 상품권 무단사용 사건은 전산 오류라던 회사 설명과 달리 중국 해커들의 조직적 범죄로 드러났다.

서울지방경찰청 사이버범죄 수사대는 홈플러스 모바일 상품권 발행대행업체 A사의 전산 시스템에 침입해 상품권 정보를 빼낸 혐의(정보통신망법 위반 등)로 조모(26)씨 등 중국 해커조직원 3명을 지명 수배했다고 2일 밝혔다.

조씨 등은 지난해 12월 말부터 지난 1월 초까지 A사의 홈플러스 상품권 발송 서버에 침입해 상품권 번호와 고유식별번호(PIN) 89만건을 빼낸 뒤 국내에서 판매하거나 종이상품권으로 교환해 유통한 혐의를 받고 있다. 이들이 해킹한 상품권은 590억원 상당이었고 11억원은 잔액이 남아 있었다.

조씨 등은 지난해 11월 A사의 서버를 해킹하는 과정에서 홈플러스 상품권 발송용 서버가 보안에 취약하다는 점을 발견했다. 서버에는 자체 방화벽이 없었고 상품권 발송 데이터베이스엔 암호화되지 않은 상품권 일련번호와 PIN이 그대로 노출돼 있었다.

경찰은 해킹으로 유출된 상품권을 판매한 뒤 돈을 가로챈 중국인 장모(46·여)씨를 구속하고 이모(17)씨 등 2명을 불구속 입건했다. 또 해커조직에 대포통장과 대포폰을 공급하고 대포폰 개통에 이름을 빌려준 혐의(사기)로 25명을 붙잡아 방모(27)씨를 구속하고 김모(29)씨 등 24명을 불구속 입건했다. 김미나 기자 mina@kmib.co.kr