99만명 숙박정보 턴 '여기어때' 해커 일당 검거

中해커 고용-6억원 갈취 시도

인터넷입력 :2017/06/01 12:42    수정: 2017/06/01 13:47

손경호 기자

숙박앱 여기어때를 해킹해 99만명의 개인정보를 훔쳐내고, 사용자들에게 협박문자를 발송하는가 하면 업체를 상대로 6억원을 요구한 일당이 검거됐다.

1일 경찰청 사이버수사과는 한국인3명, 중국인 해커 1명을 검거하고, 해외 체류 중인 또 다른 피의자를 추적하고 있다고 수사결과를 발표했다.

이들은 지난 3월6일~3월17일까지 중국인 해커를 통해 여기어때 전산망에 침입, 사용자 91만명의 숙박예약정보를 포함해 99만명의 개인정보 341건을 유출시켰다. 이 후 4천713명이 숙박앱 사용사실을 담은 불쾌한 문자를 받았으며, 업체측에는 6억원을 지급하지 않으면 유출된 정보를 언론사에 알리겠다고 협박하기도 했다.

여기어때 해킹 사건 개요도.(자료=경찰청 사이버수사과)

경찰에 따르면 이들 중 피의자 A(47세)는 아직 검거되지 않은 B는 IT업계에 종사하며 알게된 사이다. 이들은 지난해 11월께 여기어때 사용자들의 개인정보를 해킹해 돈을 뜯어내기로 공모했다. B는 C(34세)에게 여기어때를 해킹하면 1억원을 주겠다며 해킹할 사람을 구해달라고 요청, C는 이를 D(31세)에게 전달했고, D는 중국 해커 E(26세)에게 1천만원을 주고 해킹을 의뢰했다.

이후 해커 E는 올해 3월 초부터 여기어때 홈페이지 해킹을 통해 숙박예약정보, 회원정보, 제휴점 정보 등을 유출시켰다.

이를 넘겨 받은 A, B는 3월21일~4월18일까지 암호화 화폐 비트코인으로 환산해 3억원에서 최대 6억원까지 현금을 요구하며 협박했다. 이들은 업체에 협박 이메일을 보내는 것과 함께 고객센터 게시판 게시글을 올리는가 하면 사용자들에게 불쾌한 문자메시지를 전송하고, 페이스북에 유출된 개인정보를 게시하기도 했다.

A, B는 여기어때로부터 돈을 못 받게 되자 C에게 해킹 대가를 지급하지 않았으며, C는 D로부터 대가를 지급하라는 압박을 받아 D에게 3천만원, 해커 E에게 1천만원을 송금한 것으로 조사됐다.

경찰은 피의자들을 체포하는 과정에서 유출된 개인정보 원본파일을 압수했으며, 중국인 해커 E의 하드디스크 등에서도 추가적인 개인정보파일을 발견해 추가 수사 중이다.

다만 수사 과정에서 피의자 B가 여기어때 개인정보파일 사본을 갖고 있다는 사실이 확인되면서 해외에 체류하면서 경찰은 아직 검거되지 않는 B를 쫓고 있다.

관련기사

중국 내 해커팀에 소속돼 활동 중인 E는 여기어때 외에도 여러 차례 국내서 해킹 의뢰를 받아 여러 사이트를 해킹했던 것으로 추정된다. 개인정보를 유출 시키기 위한 해킹 프로그램을 직접 제작해 유출된 개인정보가 의뢰인에게 자동으로 전달되도록 하기도 했다.

경찰에 따르면 이 해커는 민관합동조사단의 조사에서 밝혀진 대로 여기어때에 대해 웹취약점 공격방법 중 하나인 SQL인젝션 등을 통해 관리자 권한을 확보했다. 이후 여기어때 관리자 홈페이지에 접속해 개인정보를 훔쳐갔다. 여기어때 관리자 홈페이지에는 사용자 권한 정보를 가로채는 세션 하이재킹(session hijacking)을 차단할만한 보안체계가 갖춰져 있지 않았던 것으로 확인됐다.