전국 20여개의 웹하드 업체 결제시스템이 철없는 고등학생들의 범행에 속무무책으로 뚫렸다.
서울에서 고등학교를 다니고 있는 이모(17)군은 지난해 8월 인터넷 게시판에서 ‘10원으로 100만원 결제하기’란 글을 읽게 됐다. 인터넷상 떠돌아다니는 해킹프로그램을 이용해 결제 정보를 조작, 막대한 이득을 얻는다는 내용이었다. 일반인들은 이해하기 어려운 방법들 이었지만 앞서 중학교 2학년 때 해킹범죄 전력이 있던 이군은 웹하드업체와 결제대행서비스업체(Payment Gateway)간에 주고받는 정보가 암호화되지 않는 다는 점을 노렸다.
이후 이군은 같은 반 친구 3명과 함께 전국 웹하드 업체를 대상으로 해킹에 나섰다. 이들의 범행은 실제 결제한 금액보다 많은 금액의 포인트를 충전하는 방식으로 이뤄졌다.
해킹프로그램을 이용해 웹하드 사이트의 포인트 충전 과정에서 결제대행업체로 전달되는 결제정보를 조작했다. 즉 실제로는 1원을 결제하면서 1100만원 상당의 포인트를 충전하는 방식이다. 이들은 이 같은 방법으로 전국 20여개 웹하드 업체들로부터 모두 8600만 포인트(현금 8600만원 상당)를 가로챘다.
또 이들은 업체들이 회원이름과 계좌 명의만 같으면 출금을 승인해 주는 점도 노렸다. 이군 등은 인터넷 상에서 개인정보 7만건을 수집한 뒤, 이중 동명이인의 명의로 사이트에 가입해 자신들의 계좌로 돈을 입금 받았다. 특히 추적을 피하기 위해 PC방과 공중PC, 무선 IP등을 범행에 사용했다. 또 결제 과정에서 흔적이 남지 않는 문화상품권을 결제 수단으로 사용하는 등의 치밀함을 보였다.
이군 등은 대부분의 포인트를 영화 등 유료컨텐츠를 다운받는데 썼지만, 1100만원은 현금으로 입금받아 노트북이나 의류를 구입하거나 여행경비 및 유흥비 등의 용도로 사용하기도 한 것으로 드러났다.
이후 일부 웹하드업체가 동일한 IP에서 지속적인 해킹 공격이 들어오는 것을 감지하고, 경찰에 신고하면서 이들의 범행은 막을 내렸다.
전북지방경찰청 사이버수사대는 30일 해킹 프로그램을 이용해 웹하드 결제 정보를 조작하는 방법으로 1억1000여 만원을 가로챈 혐의(컴퓨터이용 사기 등)로 이모(17)군 등 4명을 불구속 입건했다. 경찰 관계자는 “많은 업체들의 충전사이트가 암호화 돼 있지 않아 쉽게 결제정보를 조작할 수 있었다”며 “관련 업체들이 추가적인 피해를 당하지 않도록 결제시스템 등 보안을 강화해야 할 것”이라고 말했다.
김병진기자