[경찰팀 리포트] "수험생님! 많이 당황하셨어요?"

#1. 지난 2월13일 오후 2시30분, 삼수생 황모씨(22)는 자신이 지원한 서울에 있는 K대학 관계자의 전화를 받았다. 삼수 끝에 소신 지원한 K대학 사회과학대 추가 합격 통보를 받은 것이다. 학교 관계자는 오후 4시까지 등록금과 입학금 400만원을 입금할 것을 요구했다. 황씨는 목포에 있는 부모님에게 연락해 황급히 돈을 보냈다. 뭔가 꺼림칙해 며칠 뒤 K대학에 연락한 황씨는 다리에 힘이 풀려 그 자리에 주저앉고 말았다. 대학 측은 “추가 합격자 명단에 없고 전화상으로는 등록금을 요구하지 않는다”고 답변했다.

#2. 중국 검색포털 사이트인 바이두에서 ‘한국인 신상정보’ 등을 검색하자 개인정보가 담긴 사이트가 300개 넘게 나열됐다. 한국인 신상정보를 구한다는 게시물에 판매자 연락처를 남긴 경우도 많았다. 한 브로커에게 연락하자 5만건의 한국인 신상정보를 5만원에 넘기겠다는 조선족 말투의 대답이 돌아왔다.

주요 대학의 합격자 발표가 이어지는 연말·연초를 노려 대학 입시생들의 추가 합격을 미끼로 돈을 뜯어내는 보이스피싱 사기가 ‘계절성 범죄’로 되풀이되고 있다. 입시생이 개그프로그램 소재로 등장하는 뻔한 보이스피싱에 매번 걸려드는 건 왜일까. 경찰은 입시정보 사이트나 동영상 강의 사이트, 대입학원의 허술한 보안망 탓이라고 지적했다.

국내 해커들은 입시생 및 입시생 가족의 개인정보가 고스란히 담겨 있는 이들 사이트에 접근하는 것은 ‘식은 죽 먹기’라고 입을 모았다. 수사당국은 중국 등 외국 해커들이 활개치는 상황에서 범죄 예방 홍보 외에 뾰족한 수를 찾지 못하고 있다. 보이스피싱 사기단이 다시 돌아온 ‘1~2월 대목’을 노리고 있어 각별한 주의가 필요한 시점이다.

◆국내 입시생 정보…중국 해커 손바닥에

장성민 고려대 디지털포렌식연구실 연구원이 27일 피싱코드 삽입을 통한 해킹법을 설명하고 있다. 이지훈 기자
장성민 고려대 디지털포렌식연구실 연구원이 27일 피싱코드 삽입을 통한 해킹법을 설명하고 있다. 이지훈 기자
경찰은 수험생들의 개인정보가 담긴 사이트가 중국에서 활동하는 해커들에게 싹쓸이 당한 것으로 추정하고 있다. 경찰 관계자는 “범행 정황을 미뤄보면 사소한 정보까지 사기단이 알고 있어 수험생이 전혀 의심할 수 없을 정도”라며 “중국에서 활동하는 해커들은 제집 드나들 듯 국내 사이트에서 정보를 빼가는 것으로 파악된다”고 말했다. 일부 입시정보 사이트의 회원은 100만명이 넘는다. 인터넷 강의 사이트의 시장 규모는 지속적인 성장세 속에 지난해 2조5000억원을 넘어섰다.

지난해 12월 서울지방경찰청 사이버범죄수사대는 해킹으로 빼낸 고3 수험생 18만명의 개인정보를 중국인 해커에게서 사들인 뒤 서울의 유명 직업전문학교 등에 판매한 혐의(정보통신망 이용 촉진법 위반 등)로 고모씨(47)를 구속했다. 당시 경찰은 고씨가 보유한 개인정보와 유명 입시정보 사이트의 회원 개인정보를 비교한 결과 47%가 일치했다고 밝혔다. 이들 업체는 “수험생 개인정보가 든 사이트는 수없이 많다”며 해킹 사실을 전면 부인했다.

2011년 6월 국내 최대 동영상 강의 사이트인 메가스터디도 서버가 다운되면서 해킹 의혹에 휩싸였지만 “공격을 받은 것은 사실이나 개인정보 유출 정황은 없다”고 의혹을 부인했다. 한 보안전문가는 “외부 공격의 원인과 피해 규모 등을 파악할 수 있는 단서인 웹서버 로그 기록이 메가스터디의 서버 복구 과정에서 지워졌는데 이는 상식 밖의 일”이라며 해킹 의혹을 제기했다.

10년 전 보안체계

보안전문가와 해커들에 따르면 국내 입시 관련 사이트들의 보안 수준은 심각한 상태다. 익명을 요구한 한 해커는 입시 관련 사이트에 대한 ‘스캐닝(해커들이 웹서버나 홈페이지의 취약점을 탐색하는 기법)’을 시도해 본 적이 있다고 고백했다. 그는 흔적을 남기지 않기 위해 공격 성공률이 떨어지는 ‘우회공격’을 했음에도 취약점이 다수 노출됐다고 전했다. 그는 “스캐닝을 시도한 입시 관련 사이트는 인터넷에 떠도는 해킹툴만 사용해도 10분 이내에 정보 탈취가 가능한 정도의 보안 수준이었다”고 설명했다.

또 다른 해커는 “이름만 대면 아는 유명 학원이 10년 전 해킹을 당해 정보 유출자를 찾아달라고 부탁한 적이 있다”고말했다. 하지만 그는 “10년이 지난 지금도 이 학원의 보안시스템은 바뀐 것이 전혀 없다”고 의아해했다.

수험생 등 특정 집단을 공격 목표로 정해 정보 유출을 시도할 때 해커들은 주로 ‘워터링홀’ 방법으로 공격한다. 타깃 집단이 자주 찾는 사이트를 감염시켜 정보 유출을 시도하는 방법으로 공격당한 사이트의 데이터베이스(DB) 전체가 털릴 수 있어 피해 위험성이 크다.

고려대 디지털포렌식연구실은 워터링홀 공격은 웹사이트 코드 조작을 통해 이뤄진다고 설명했다. 해커들은 공격 대상 웹사이트의 코드 취약 지점에 피싱코드를 삽입하는 방법으로 해킹을 시도한다. 장성민 연구원은 “삽입된 피싱 코드는 수험생이 해당 사이트에 접속하기만 해도 ‘회원정보 수정’ 등 개인 신상정보가 담겨 있는 버튼을 클릭하도록 명령하게 된다”며 “이용자 화면에는 변화가 없기 때문에 해커는 아무도 눈치채지 못하게 신상정보를 빼가게 된다”고 설명했다.

아이디뿐만 아니라 비밀번호도 함께 불러오도록 코드를 조작해 접속에 필요한 패스워드를 알아내는 ‘SQL(데이터베이스에 접근할 수 있는 데이터베이스 하부 언어) 인젝션’ 공격도 대표적인 수법이다. 장 연구원은 “코드 조작을 통해 관리자 권한 상승이 이뤄지는 게 가장 위험하다”며 “이 경우 해당 사이트의 DB 전체가 해커 손에 넘어가 대규모 정보 유출이 이뤄진다”고 설명했다.

수험생 개인정보 60~80원에 거래

보안 전문가들은 국내 사이트는 ‘중국 해커들의 놀이터’라고 입을 모은다. 한 해커는 “대한민국 국민의 신상정보는 100% 중국 해커의 손에 넘어가 있다”며 “주민번호와 이름이 나와 있는 개인정보는 건당 1원, 정보 활용도가 높은 수험생 개인정보는 60~80원 선에 거래되는 것이 현실”이라고 설명했다.

경찰은 해커는 물론 보이스피싱 조직도 해외를 기반으로 하고 있어 수사에 어려움을 겪고 있다. 이병귀 경찰청 사이버테러대응센터팀장은 “해킹은 대부분 해외 서버를 이용해 이뤄진다”며 “범죄는 국경이 없지만 사법권은 국경으로 제한돼 있어 수사에 근본적 한계가 있는 게 사실”이라고 말했다. 이명정 서울 수서경찰서 지능수사팀장은 “현재로선 보이스피싱 대상자가 경각심을 가지고 대응하는 수밖에 없다”며 “특히 입시철 수험생을 대상으로 한 보이스피싱 예방 활동에 지자체와 대학, 경찰이 공조할 필요가 있다”고 말했다.

이지훈/김태호/박상익 기자 lizi@hankyung.com