국내 금융 대출사이트와 쇼핑몰 등을 해킹해 1천300만건의 개인정보를 빼내 유통시킨 해커 2명과 서버 보안관리를 소홀히 한 업체관리자 32명이 경찰에 입건됐다.
 
   부산경찰청 사이버수사대는 8일 중국 해커와 공모해 국내 금융 대출 사이트와 쇼핑몰, 도박 사이트에서 개인정보를 빼내 판매한 혐의(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 등)로 오모(37)씨에 대해 구속영장을 신청하고 공모자 양모(29)씨를 불구속 입건했다.
 
   경찰은 또 해킹 피해업체의 서버 보안관리를 맡고 있는 이모(35)씨 등 20개 업체 32명을 개인정보 보호를 소홀히 한 혐의(개인정보 기술적ㆍ관리적 보호조치 위반)로 불구속 입건했다.
 
   경찰에 따르면 오씨 등 해커 2명은 지난해 4월30일부터 같은해 11월30일까지 중국 해커와 공모해 모 캐피탈 등 금융 대출 사이트와 도박 사이트, 쇼핑몰 등 국내 378개 사이트를 해킹해 이 중 152곳에서 빼낸 개인정보 680만건과 인터넷에서 구한 620만건 등 모두 1천300만건을 온라인에서 알게 된 신원을 알 수 없는 5명에게 53회에 걸쳐 3천260만원을 받고 판매한 혐의를 받고 있다.
 
   이씨 등 피해업체 관리자 32명은 개인정보 유출을 막기 위한 해커 침입탐지 등 보안시스템을 제대로 관리하지 않거나 고객의 비밀번호를 암호화하지 않은 혐의를 받고 있다.
 
   경찰 조사결과 오씨 등 해커들은 웹서버의 파일 첨부 기능의 취약점을 이용한 '웹쉘 업로드(web-shell upload)' 해킹 수법으로 개인정보를 빼낸 것으로 나타났다.

   웹쉘 업로드는 해킹 프로그램을 서버에 침투시키면 마치 서버관리자처럼 페이지를 생성시켜 개인정보를 빼내는 수법이다.
 
   오씨 등이 빼낸 정보는 성명, 주소, 주민번호, 전화번호, 이메일 주소, ID, 비밀번호 등의 민감한 정보가 대거 포함돼 있다.
 
   경찰은 오씨 등이 넘긴 개인정보가 금융사기에 이용되거나 메신저 피싱 등 2차 범행에 이용될 우려가 있다고 밝혔다.
 
   특히 피해업체의 경우 정보유출 피해를 막기 위해 주민등록번호를 포함한 모든 개인정보를 암호화하도록 한 개정 방송통신위원회 고시(1월18일 시행)의 내용을 대부분 모르고 있거나 알더라도 비용이 많이 든다는 이유로 보안조치를 하지 않은 것으로 경찰 조사에서 드러났다.
 
   부산경찰청 이재홍 사이버수사대장은 "그동안의 인터넷 개인정보 유출 사건에서는 통상 해커만 사법처리 했지만, 이번에는 업체 서버 관리자들을 모두 입건해 법적책임을 물었다"며 "이번 사건으로 업체들이 취약한 정보관리의 심각성을 인식하는 계기가 됐으면 한다"고 말했다.