한국 재력가들의 명의를 훔쳐 390억원에 달하는 돈을 빼돌린 혐의로 22일 송환된 해킹조직의 범행과정에서 한국 ‘비대면 인증’ 체계의 허점이 노출된 것으로 나타났다.

서울경찰청은 28일 브리핑을 열고 국제 해킹조직 총책인 중국 국적의 A·B씨 및 국내외 조직원 등 18명을 검거했다고 밝히며 구체적 범행 수법을 공개했다.

경찰에 따르면 조직원들은 2023년 7월부터 올해 4월까지 정부, 공공기관, IT 플랫폼 업체 등 웹사이트 6곳을 해킹해 258명의 개인·금융·인증정보를 탈취했다. 이 과정에서 신분증·운전면허·계좌번호·금융자산·전화번호 등 정보가 털렸다. 이들은 258명 중 자산이 많은 재력가를 1차, 수감된 기업회장·유명인, 또는 해외 체류 중이거나 군에 입대한 연예인·체육인·가상자산 투자자 등을 2차 범행대상으로 삼았다.

조직원들은 알뜰폰 사업자 12곳의 개통 서비스를 해킹해 89명 명의로 휴대폰 유심 118개를 무단 개통했다. 알뜰폰이 통신 3사보다 보안 수준이 낮다는 점을 노렸다.

알뜰폰 개통은 △이름과 개인정보를 통한 실명인증과 △신분증 인증 △전자서명 인증관리 기관을 통하는 간편인증의 3단계를 거친다. 그러나 불법 확보한 개인정보, 발급기관·이름 등을 바꿔 엉성하게 위조한 신분증으로도 본인인증이 이뤄졌고 간편인증까지 통과되면서 알뜰폰이 개통됐다. 알뜰폰 개통 후엔 각종 비대면 신원인증 체계가 차례로 뚫렸다는 설명이다.

피해 기관 및 업체는 정부와 공공기관 등 5곳, 본인인증 기관 2곳, 금융 기관 1곳, ICT 위탁기관 1곳, IT 기업 1곳, 알뜰폰 사업자 12곳 등이었다. 수사 과정에서 드러난 보안 취약점만 24개에 달했다. 경찰은 드러난 취약점과 신종 수법을 유관기관에 통보하고 보완조치를 요청했다고 밝혔다.

오규식 서울청 사이버수사2대장은 “이번 사건은 단순히 개인 대상 해킹이 아니라 비대면 인증 체계를 우회한 전례 없는 사건”이라고 평가했다.

이재걸 기자 claritas@naeil.com