재력가들의 개인정보를 탈취해 자산을 빼돌린 국제 해킹 범죄조직 중국 동포 A 씨의 대화 내용.(서울경찰청 제공)
그룹 방탄소년단(BTS) 정국 등 유명 연예인과 재력가의 개인정보를 해킹해 400억 원이 넘는 자산을 가로챈 조직이 경찰에 붙잡혔다. 이들은 세계적으로 전례를 찾기 어려운 ‘유심 복제’ 신종 수법을 동원한 것으로 조사됐다.
21일 서울경찰청 사이버범죄수사대는 2022년 5월부터 지난해 4월까지 이동채 전 에코프로 회장 등 대기업 임원 22명을 포함해 271명으로부터 총 484억 원을 뜯어낸 해킹 조직원 32명을 검거했다고 밝혔다. 경찰에 따르면 범행 초기 이들은 피해자 13명의 것과 동일한 휴대전화 유심칩을 만든 뒤 이를 공기계에 끼워 통신사에 기기 변경을 요청하는 방식으로 유심을 복제했다. 이러면 피해자에게 가야 할 전화나 문자메시지를 가로챌 수 있다. 조직은 이 수법으로 피해자의 가상자산 거래소 인증 번호 등을 수신한 뒤 ID와 비밀번호를 파악해 4명으로부터 총 89억 원가량의 가상자산을 탈취했다. 유심을 복제하려면 일련번호 등을 알아야 하는데, 조직이 이를 어떻게 파악했는지는 경찰이 수사 중이다.
피해 신고를 접수한 경찰이 통신사와 함께 유심 복제를 차단하는 시스템을 도입하자, 이들은 2023년 7월 범행 수법을 바꿨다. 알뜰폰의 비대면으로 개통 절차가 허술하다는 점을 악용해 피해자 명의의 유심 122개를 무단으로 개통한 것이다. 이후 아이핀이나 공동인증서 등을 발급받아 피해자 24명의 거래소 계정에 침입해 약 395억 원을 추가로 빼돌렸다.
광고 로드중
피해자 중엔 일반 기업 관계자 75명과 정치인·법조인·공무원 11명, 연예인·인플루언서 12명 등이 포함됐다. 해킹 피해자들의 자산을 모두 합하면 약 55조2000억 원에 달했다. 다만 실제 피해로 이어진 건 484억 원이고, 미수에 그친 금액까지 포함하면 약 734억 원이다.
경찰은 약 4년에 걸친 수사로 해당 조직이 사실상 와해했다고 판단했다. 경찰은 최근 국내로 송환된 중국인 총책(40)을 22일 구속 송치하고, 이미 송환돼 재판받는 또 다른 총책(36)에겐 유심 복제 혐의를 추가로 적용할 방침이다. 오규식 서울경찰청 사이버범죄수사2대장은 “유심 복제는 세계적으로 전례를 찾기 힘든 신종 기법”이라며 “유심 정보 유출 경로 등은 수사를 이어갈 예정”이라고 밝혔다.
이기욱 기자 71wook@donga.com