금융 사기조직, 이젠 국내 서버 호스팅까지 악용

일반입력 :2014/11/26 16:40

손경호 기자

최근 국내에서 서버 호스팅 서비스를 제공하고 있는 A회사 대표 B씨는 황당한 일을 겪었다. 한 고객이 약 한 달 동안 자사 서비스를 이용하면서 수백 건 이상 공인인증서와 개인키, 보안카드 스캔 이미지, 각종 웹사이트 ID와 비밀번호 등을 정리한 파일들을 보관해왔다는 사실이 밝혀졌기 때문이다.

과거 국내에서 유출시킨 정보는 대부분 미국, 일본 소재 호스팅 회사를 통해 관리돼 왔다. 이메일과 신용카드 결제정보만 확인되면 서비스를 활용할 수 있었던 탓이다.

그러나 국내에서 해당 정보가 담겨있는 해외 서버에 대한 IP주소 접속이 차단되는 일이 자주 발생하자 이제는 아예 대놓고 우리나라 호스팅 서비스를 악용하는 사기조직이 등장하기 시작한 것이다.

25일 서울 모처에 위치한 A회사 데이터센터를 찾아가 확인해 본 결과 사기조직은 윈도 서버 2012 환경에서 에버노트를 활용해 이름 혹은 기업명 등으로 분류된 370건의 금융정보를 관리해 온 것으로 확인됐다. 압축파일이나 이미지 파일, 액셀 파일 형태로 저장된 내용에는 NH농협, 신한은행, 우리은행, 제일은행, 새마을금고 등 주요 은행은 물론 증권사, 보험사 이름까지 나와있다.

심지어 일부 액셀파일에는 특정 사용자가 방문한 적이 있는 총 494개 웹사이트에 접속하기 위한 ID, 비밀번호도 등장한다. 여기에는 각종 게임사이트, 온라인쇼핑몰과 함께 국민건강보험공단 접속을 위한 계정정보까지 포함된다.

이 서비스를 악용한 사기조직은 중국인 혹은 중국 교포와 한국인들이 함께 범죄에 가담하고 있는 것으로 추정된다.

B대표는 중국에서 주로 쓰는 QQ메신저를 활용하고 있고, 일부 폴더는 중국인들이 좋아한다고 알려진 숫자 8이 사용돼 있다는 점을 근거로 들었다. 액셀 프로그램이나 기타 폴더가 한자로 씌어져있다는 점도 가능성을 더한다.

고객이 서버를 활용해 무슨 작업을 하는지에 대해 호스팅 서비스 회사에서 알아야할 이유는 없다. 그럼에도 불구하고 이런 내용이 밝혀지게 된 것은 경찰이 추적하던 계좌와 관련된 의심되는 IP주소가 발견됐기 때문이다. 해당 IP가 이 회사를 통해 호스팅하고 있던 서버의 것이었다.

사기조직원은 한 달 동안만 이 회사 서비스를 이용했지만 일반적으로 고객이 재계약할 것을 고려해 일주일 동안 보관하고 있던 백업용 서버 가상화 이미지에서 해당 내용을 확인할 수 있었다.

국내 서버 호스팅 서비스를 이용하기 위한 절차는 해외보다 까다롭다. 기본적으로 휴대폰을 이용한 본인인증을 거쳐야만 하기 때문이다. 사기조직원은 유출시킨 정보를 갖고 대포폰을 만들어 인증을 받고, 대포통장을 통해 결제를 신청했던 것으로 추정된다.

이 회사는 발견 즉시 관련 내용을 관할 사이버수사대, 한국인터넷진흥원(KISA) 침해사고대응센터에 신고한 상태다.

국내 악성코드 유포지, 경유지, 유출시킨 금융정보를 저장하는 해외서버를 추적해 온 보안회사 빛스캔 전상훈 이사는 발견되는 해외 IP주소가 차단되다보니까 국내 서비스까지 이용하고 있는 것으로 파악된다며 큰 조직의 경우 금융정보를 몇 만건씩 보유하고 있는 경우도 있다고 설명했다.

관련기사

국내에서 서버 호스팅을 제공하는 회사들이 수십여개에 달한다는 점을 고려하면 다른 곳에서도 피해가 발생할 수 있는 상황이다.

KISA 관계자는 현재 유출된 공인인증서의 경우 발급기관에 폐기를 요청하고 금융ISAC에 관련 정보를 공유하고 있다며 이러한 사실을 인지하면 바로 경찰이나 KISA쪽에 신고해줄 것을 요청했다.