인천지방경찰청 사이버수사대는 26일 인터넷 사이트를 해킹, 개인정보를 탈취한 혐의(정보통신망이용촉진 및 정보보호등에 관한 법률위반)로 A(21)씨 등 2명을 구속하고 7명을 불구속 입건했다.
이들은 지난해 9월부터 최근까지 한국의사협회 등 5개 협회 홈페이지와 60여개의 게임사이트를 '웹셸(Web Shell)' 방식의 해킹 수법으로 해킹해 약 3억 6천여만 원 상당의 부당이득을 취한 혐의를 받고 있다.
이들의 범행 수법인 '웹셸'은 악성코드를 사이트에 심어 관리자 권한을 얻을 수 있는 방식이다.
경찰 조사 결과 이들이 해킹으로 빼낸 개인정보 규모는 의사협회 8만 명, 치과의사협회 5만6천 명, 한의사 2만 명과 의사가 아닌 일반회원들이다.
유출된 개인정보는 웹사이트 아이디, 비밀번호, 이름, 주민등록번호, 휴대전화번호, 주소 등이며, 의사인 경우에는 의사면허번호와 근무지, 졸업학교까지 포함됐다.
증권과 부동산 전문 사이트 등 국내 225개 인터넷 사이트에서는 가입 회원 1천3백만 명의 주민등록번호, 계좌번호, 집주소 등의 개인정보를 탈취해 대출업자 등에게 판매한 것으로 조사됐다.
특히, 한 불법 도박사이트에서는 관리자 권한을 확보, 승부 조작을 한 뒤 사이트 운영자에게 "데이터를 삭제해 폐쇄시키겠다"며 협박해 금품을 뜯은 것으로 드러났다.
이들의 해킹에 뚫린 사이트들은 암호화 설정만 해도 개인 주민등록번호 등을 알아 낼 수 있을 만큼 보안이 취약했다.
현재 중국에 있는 한국인 해커가 검거되지 않아 언제든 의사들의 개인정보가 제3자에게 제공돼 범죄에 악용될 가능성도 배제할 수 없는 상황이다.
경찰은 개인정보 구매자와 중간 판매자 등 10명의 행적을 쫓고 있다.