숙박업체 예약 애플리케이션 '여기어때'를 해킹해 개인정보를 빼돌린 일당이 경찰에 붙잡혔다.

경찰청 사이버수사과는 해커를 고용해 여기어때 전산망을 침입한 후 개인정보를 빼내고 업체 측에 금품을 요구한 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반·공갈미수)로 이모씨 등 4명을 구속했다고 지난 1일 밝혔다.

이씨 일당은 총 5명으로 이들은 지난 3월 여기어때 홈페이지를 해킹했다. 이용자 99만명의 숙박 예약 정보와 회원 정보, 가맹점 정보 등 총 341만건을 빼냈으며 이를 미끼로 여기어때 측에 금품을 요구했다.

경찰에 따르면 이씨는 현재 외국으로 도피한 공범 A씨와 범행을 계획했으며 박모씨와 조모씨를 통해 국내에 체류하던 중국동포 해커 남모씨를 소개받았다. 이씨와 A씨는 남씨에게 돈을 주고 해킹을 시도했으며 남씨는 중국인 해커집단 소속인 것으로 알려졌다.

또 남씨는 데이터베이스(DB) 접근 페이지의 보안상 취약점을 이용한 'SQL 인젝션(injection)', 관리자 권한을 가로채는 '세션 하이재킹'(session hijacking) 등으로 해킹을 한 것으로 경찰은 설명했다.

남씨로부터 정보를 넘겨받은 이씨와 A씨는 여기어때 측에 해킹 사실을 알리고 가상화폐인 비트코인으로 6억원을 요구했다. 이들은 가상의 보안업체를 사칭하기도 했으며 여기어때 측에 19차례 이메일을 보내고 고객센터 게시판에 글을 올리기도 했다.

하지만 여기어때 측이 이에 응하지 않자 이들은 확보한 개인정보를 이용, 여기어때 이용자 4600여 명에게 3차례에 걸쳐 문자메시지 4713건을 발송했다. 당시 일부 이용자는 자신이 묵은 숙박업소에 관한 언급과 함께 성적 수치심을 유발하는 메시지를 받은 것으로 전해졌다.

경찰은 A씨를 제외한 일당 4명을 차례로 검거했다. 유출된 개인정보 원본 파일을 모두 압수했으며 개인정보가 제3자에게 제공된 흔적은 발견되지 않았다. 다만 도피 중인 A씨가 남씨로부터 파일을 넘겨받아 사본을 소지하고 있어 검거에 총력을 기울이고 있는 상황이다.

경찰 관계자는 "외국에 체류 중인 A씨를 조속히 체포해 개인정보 파일을 회수하고 유출된 정보를 활용한 2차 피해가 발생하지 않도록 최선을 다하겠다"고 말했다.

황재용 기자 (hsoul38@nextdaily.co.kr)