경유·직접 침투 모두 사용해 추적 교란

현대캐피탈 고객 정보를 빼돌린 해커들의 조직 규모와 수법 등이 경찰 수사가 진행되면서 조금씩 실체를 드러내고 있다.

아직 해커들의 신원 등 확인되지 않은 요소가 많고 해킹에 연루된 것으로 보이는 1명만 신병이 확보된 상태지만 정황상 해커들이 ‘나름’ 조직을 갖췄고 경험도 상당한 수준이라는 추정은 가능하다.

13일 이번 사건을 수사 중인 서울지방경찰청 사이버범죄수사대에 따르면 해킹에 사용된 중간 서버 요금을 결제한 사람과 현대캐피탈이 범인의 계좌로 보낸 돈을 인출한 인물은 동일인이 아닌 것으로 확인됐다.

지금까지 확인된 현금 인출자는 20~30대로 추정되는 남성 1명과 20대 후반으로 보이는 여성 1명이고 중간서버 요금을 결제한 2명 가운데 1명은 전날 검거된 A(33)씨다. 나머지 요금 결제자 1명은 아직 잡히지 않았다.

서버 요금 결제자가 해커와 동일인물인지는 아직 파악되지 않았지만 지금까지 발표된 수사 결과를 종합하면 적어도 요금을 인출한 사람과 현금 인출책은 다르다.

경찰 조사결과 현대캐피탈이 범인의 계좌로 입금한 1억원 가운데 590만원이 필리핀 파시그시티에서 인출됐으며 해킹 발신지도 필리핀 케손시티였다. 해커들이 현대캐피탈 측에 협박메일을 보낸 인터넷 프로토콜(IP) 위치는 브라질이다.

이런 점으로 미뤄 해커들은 외국에 체류하고 국내에 서버요금 결제책과 현금 인출책을 두는 등 조직을 국내외로 분산했을 가능성이 있다.

전날 붙잡힌 A씨는 “인터넷 채팅에서 신원을 알 수 없는 인물로부터 휴대전화로 요금 결제를 부탁받았다”고 진술했다. 관련 범인들이 서로 모르는 점조직일 개연성을 무시할 수 없다.

해커들이 ‘기본기’ 이상의 실력을 갖췄다는 정황이 곳곳에서 나온다.

현대캐피탈의 전산보안 체계가 허술했을 수 있다는 지적이 나오긴 하지만 전산정보 보안에 가장 철저하다는 대형 금융업체의 전산망을 뚫고 42만명이나 되는 고객 정보를 빼냈다는 점에서 보통은 넘는 실력을 갖춘 것으로 보인다.

현대캐피탈과 협상 용도로 쓴 전자우편 계정을 외국에 서버를 둔 서비스에 개설한 것도 수사의 손길이 닿기 어렵게 하려는 의도로 해석된다.

범인들은 현대캐피탈 측에 계정 아이디와 비밀번호를 알려주고 자신에게 메일을 보내는 방식으로 접촉했다.

필리핀에서 현대캐피탈 서버로 접근한 방식에서 중간 단계를 거치지 않은 직접 침투와 국내 경유 서버를 거친 우회 침투 두 가지가 모두 발견됐다는 점도 눈여겨볼 필요가 있다.

전문가들에 따르면 숙련된 해커들은 일단 경유 서버를 이용하지 않고 목표 서버에 직접 접속해 여러 측면으로 보안시스템의 허점을 파악한다. 또한 경유 서버로 자신의 위치를 숨기고 본격적인 해킹에 돌입한다.

경유 서버를 거치면 서브 IP가 생성되므로 이를 역추적하는 입장에서는 일단 서버 IP를 확인하고 나서야 실제 발신지 IP를 추적할 수 있다. 수사망을 피할 여유를 버는 방법이다.

일부러 직접 접속과 경유 접속을 병행하면서 여러 지역 IP를 노출시켜 위치 파악을 어렵게 하려는 의도라는 것이다.

국내 한 사이버범죄 전문가는 “지금까지 드러난 정황들로 볼 때 해커들의 수법이 딱히 새로운 것은 아니지만 수준이 꽤 높은 편이고 조직적으로 해킹한 경험도 있는 것으로 보인다”고 말했다.

연합뉴스