파밍 수법으로 3만7천건이 넘는 공인인증서를 유출하고 금융정보를 빼내 12명으로부터 2억원 상당을 갈취한 사이버 범죄자 2명이 지난 5월 6일 인천 소재 모 PC방에서 경찰에 의해 검거됐다. 피의자는 총 3명이며 이중 2명(한국인 1명, 조선족 1명)은 검거됐고 조선족 출신 중국 해커는 아직 검거하지 못한 상태다.
 
경찰청 사이버안전국 정석화 경정은 “지난 3월 8일경 피의자 3명은 보안이 취약한 이용자들의 PC에 악성코드를 감염시켜 PC에 저장되어 있는 총 37,175건의 공인인증서를 미국 소재 서버로 전송, 탈취했다”며 “이후 피해자들이 포털사이트나 인터넷뱅킹 접속시 각 은행별 파밍사이트로 유도해 보안카드 번호 등 금융정보를 추가로 입력받아 전송하는 방법으로 총 198명의 금융정보를 수집 탈취한 후, 피해자 12명의 금융계좌에 인터넷뱅킹으로 접속해 대포통장 계좌로 돈을 이체하는 방법으로 2억원 상당을 편취한 혐의를 받고 있다”고 설명했다.
 
경찰은 범행시작 시점에 중국에서 국내로 입국해 피해자 12여 명으로부터 대포통장으로 이체된 2억 상당을 인출, 중국으로 송금한 혐의로 조선족 인출 총책 A씨를(28세) 구속하고 같은 인출책인 공범 B씨(32세)를 불구속하는 한편, 중국에 주거하는 조선족 총책 C씨(26세)의 인적사항을 특정해 중국 당국에 공조수사를 요청한 상태다.
 
구속된 피의자 A씨는 인출시 편의를 위해 범행수익금으로 최근 고급 중형승용차를 구매한 후, 악성프로그램에 감염된 피해자들 상대로 136개 대포통장 등을 이용해 범행을 지속하려고 했던 것으로 확인되었다.
 
이번 사건의 특징을 살펴보면, 우선 보안이 취약한 PC 사용자가 범행 대상이 됐다. 사용자들이 운영체제 및 인터넷 브라우저 관련 프로그램을 보안업데이트 하지 않은 경우, 피의자가 미리 해킹한 사이트에 접속하는 순간 감염된다. 특히 운영체제, 익스플로러(IE), 자바(JAVA), 플래시 플레이어(SWF) 취약점 이용한다. 악성코드 감염시 사용자 PC에 저장된 공인인증서 파일을 미국 소재 서버로 자동 유출하고, 포털사이트 및 인터넷뱅킹 접속시 파밍사이트로 유도, 보안카드 등 금융정보를 입력받아 미국 소재 서버로 추가 유출한 것이다.
   
이번에 확인된 유출정보는 이름, 주민등록번호, 계좌번호, 계좌비밀번호, 사용자 아이디, 비밀번호, 휴대폰번호, 이체비밀번호, 보안카드 일련번호 정보, 인증서 비밀번호, OTP 카드번호, 일회용비밀번호 등이다.   
 
경찰 관계자는 “기존에는 악성코드가 지정한 파밍사이트로 단순 유도하는 방법이었으나 발각시 접속 차단되는 문제가 있자, 이번에는 DNS 설정을 변조해 파밍사이트 정보를 실시간으로 중국 블로그에서 전송받아 유동적으로 접속하도록 악성코드를 제작했다”며 “사용자를 속이기 위해 정교하고 교묘하게 피싱 페이지를 제작하고 있다. 특히 포탈사이트 화면 위에 팝업창을 띄우는 방법을 사용했다”고 설명했다.
 
경찰은 금융정보를 탈취 저장중인 미국 소재 서버를 조기 확보하고 서버에 저장되어 있던 37,175건의 공인인증서 등 금융정보를 확인했다. 또 금융결제원에 공인인증서 유출사실을 통보하고 긴급 폐기조치했다. 또 한국인터넷진흥원(KISA)과 악성코드 유포사이트, 금융정보 탈취 해외서버에 대한 정보공유와 백신에 반영 조치를 신속하게 진행했다.
 
경찰청 사이버안전국은 파밍 등 금융범죄가 계속 진화하면서 향후에도 계속 발생할 것을 예상하면서, 금융결제원, 금융보안원, 한국인터넷진흥원 등 유관기관과 긴밀한 정보공유로 중국내 금융사기 조직에 대한 수사도 확대할 방침이다.
 
최근 피의자들이 신종 취약점을 이용해 악성코드를 제작하는 사실에 주목하며, 네티즌들이 악성코드 감염을 사전 예방하기 위해 운영체제, 인터넷 브라우저, 자바, 플래시 플레이어 프로그램을 최신 버전으로 업데이트 할 것을 당부했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com