지난해 6월부터 중국 절강성 경찰은 네트워크 위법범죄 행위에 대해 비밀리에 조사해왔다. 2월1일 절강성 경찰은 그 동안 소탕한 15건의 전형적인 사건을 공개하였다. 그 중 핑후 경찰이 해결한 “무차별 계정대입” 사건의 피해금액은 200만위안(한화 약 3억6천만원)에 달한다.
 
이번 사건에서 범죄자에게 공격기술을 지원한 해커는 중등전문학교 졸업생이자 독학으로 컴퓨터 프로그래밍을 공부한 남성이다.
 
지난해 11월, 알리바바 보안팀은 타오바오(taobao)가 ‘무차별 계정대입 공격’을 받는다는 이유로 핑후(平湖) 경찰에 신고하였다.
 
계정대입공격이란 인터넷 또는 기타 블랙마켓을 통해 획득한 데이터베이스를 이용하여 특정 사이트에 계정을 대입하는 기법이다. 이번 사건에서 해커가 범죄자들에게 taobao 계정을 대입할 수 있는 프로그램을 제작하여 제공하였고, 범죄자들은 불법적인 루트로 획득한 데이터베이스를 이용해 2,000여만개의 taobao계정 대입에 성공하였다.
 
경찰은 “범죄자들은 지난해 10월14부터 16일까지 aliyun 서버를 임대 후 가지고 있던 각종 데이터(계정과 패스워드 포함)를 이용해 taobao에 9,900여만번의 계정대입을 시도하였고, 그 중 2,059만개의 계정이 사용중인 것으로 확인되었다. 그러나 패스워드 유출 과정에서 다수 계정이 차단되었다.”고 밝혔다.
 
또한 taobao에서 2명의 보안전문가를 파견하여 핑후(平湖) 경찰의 수사에 협조하는 과정에서 범죄자들이 대입에 성공한 계정으로 허위제품 판매 등 범죄행위를 저지른 흔적이 발견되었으며, 공격자들이 이용한 58개 계정대입 프로그램으로 절강(浙江), 강소(江?), 상해(上海), 산동(山?), 사천(四川), 복건(福建), 안휘(安徽) 등 전국 20여개 지역의 사용자들이 피해를 보았다.
 
지난해 11월 28일 경찰은 오랫동안의 추적으로 범죄자들의 거처를 파악 후 퉁샹시(桐?市) 모 여관에서 3명의 혐의자를 체포 및 공격에 이용된 4대의 컴퓨터를 압수하였다.
 
범죄자들의 자백에 따르면 '계정대입 공격' 수단으로 taobao 계정과 패스워드를 획득 후 계정 신용도에 따라 가격을 달리하여 판매한 것으로 드러났다. 물론 신용도가 높은 계정은 좀더 비싼 가격에 판매되었다. 이런 방법으로 6개월간 200여만위안을 갈취한 것으로 드러났다. (중국 뉴스제공. 씨엔시큐리티)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com