방화벽·암호화 없는 허술한 서버… 올 초 89만건 590억 상당 털어

올해 초 홈플러스 모바일상품권이 무단으로 사용된 건 중국 해커들의 조직적 해킹 범죄에 따른 피해인 것으로 드러났다. 홈플러스 측은 모바일상품권을 발행한 A대행업체의 전산 오류에 따른 중복 발행으로 추정했지만 대행사 전산시스템 자체가 완전히 뚫렸던 것으로 확인됐다.

서울지방경찰청 사이버범죄수사대는 지난해 말 홈플러스의 모바일상품권 발행 대행업체의 전산망에 침입, 상품권 정보 89만건을 빼낸 혐의(정보통신망법 위반 등)로 귀화 중국인 조모(26)씨 등 중국인 해커 조직원 3명을 지명수배했다고 2일 밝혔다. 경찰은 해킹으로 유출된 상품권의 판매대금을 인출한 중국인 장모(46·여)씨는 구속하고, 이모(17)씨 등 2명은 불구속 입건했다.

조씨 등 해커 조직은 지난해 12월 말~올해 1월 초 홈플러스 상품권 발송 서버에 침입, 상품권 번호와 고유식별번호(PIN) 89만건을 빼낸 혐의를 받고 있다. 이들이 해킹한 상품권 규모는 본래 주인이 정상적으로 사용한 것을 제외하면 잔액 11억원 정도였다. 89만건 전체의 액면 금액은 590억원 상당이었다. 조씨 등은 탈취한 상품권을 국내 상품권 업자들에게 20~25% 할인된 가격에 판매하거나 홈플러스 매장에서 종이상품권으로 교환해 유통한 것으로 드러났다.

중국 해커들은 지난해 11월 A사의 주서버를 한 차례 해킹했으며, 이 과정에서 여러 서버 중 홈플러스 상품권 발송용 서버가 보안에 취약한 사실을 파악하고 범행을 저지른 것으로 조사됐다.

경찰 관계자는 “서버에 자체 방화벽조차 없었고, 상품권 정보는 암호화되지 않은 채 저장돼 있었다”고 말했다. 모바일상품권의 경우 일련번호와 PIN만 알면 누구나 쉽게 사용할 수 있고, 본래 주인이 잔액을 조회하기 전까진 범행 사실조차 알기 어렵다는 게 경찰 설명이다.

경찰은 조씨 등 해커들에게 대포통장과 대포폰을 공급하거나 명의를 빌려준 혐의(사기)로 방모(27)씨를 구속하고, 김모(29)씨 등 24명을 불구속 입건했다.

김민석 기자 shiho@seoul.co.kr