[정우현 기자] 숙박 예약 서비스 애플리케이션 '여기 어때'를 해킹해 개인정보 수백만 건을 빼낸 뒤 금품을 요구한 일당이 경찰에 붙잡혔다.  

1일 경찰청 사이버수사과는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반·공갈미수 혐의로 이모(47)씨 등 4명을 구속했다고 밝혔다. 또 외국으로 도피한 공범 A씨의 소재도 추적 중이다.

이씨 등은 올 3월 6∼17일 여기어때 홈페이지를 해킹해 이용자 99만명의 숙박 예약정보와 회원정보, 가맹점 정보 등 개인정보 341만건을 빼낸 뒤 여기어때 측에 금품을 요구하며 협박한 혐의를 받는다.

범행을 계획한 이씨와 A씨는 박모(34)씨와 조모(31)씨를 통해 국내에 체류하던 중국동포 해커 남모(26)씨를 소개받아 해킹을 의뢰했다. 남씨는 돈을 받고 청부 해킹을 하는 중국인 해커집단 소속인 것으로 조사됐다.

남씨는 데이터베이스(DB) 접근 페이지의 보안상 취약점을 이용한 'SQL 인젝션(injection)', 관리자 권한을 가로채는 '세션 하이재킹'(session hijacking) 등 흔히 알려진 해킹 수법을 쓴 것으로 파악됐다.

이씨와 A씨는 남씨가 해킹한 개인정보를 넘겨받은 뒤 여기어때 측에 해킹 사실을 알리고서 가상화폐인 비트코인으로 6억원을 요구했다.

이들은 가상의 보안업체를 사칭, 여기어때 측에 19차례 이메일을 보내고 고객센터 게시판에 글을 올려 "보안점검을 맡겨 놓고 왜 대가를 지급하지 않느냐"며 금품을 요구한 것으로 드러났다.

여기어때 측이 응하지 않자 이들은 해킹으로 확보한 개인정보를 토대로 이용자 4천600여명에게 3차례 문자메시지 4천713건을 발송했다. 일부 이용자는 자신이 묵은 업소에 관한 언급과 함께 성적 수치심을 유발하는 메시지를 받았다.

이어 사회관계망서비스(SNS)에 따로 계정을 만든 뒤 유출 개인정보 5천건을 올리고, 여기어때 측에 해당 계정 주소를 보내 압박하기도 했다.

여기어때 측은 이들의 금품 요구에 응하지 않았다고 경찰은 전했다.

경찰은 해커 남씨를 포함, A씨를 제외한 일당 4명을 차례로 검거한 뒤 유출된 개인정보 원본 파일을 모두 압수했다.

경찰은 개인정보가 제3자에게 제공된 흔적은 발견되지 않았지만, 도피 중인 공범 A씨가 남씨로부터 파일을 넘겨받아 사본을 소지한 상태여서 추가 유출 우려가 있는 만큼 검거에 주력하고 있다.

아울러 해커 남씨의 PC에서 여기어때뿐 아니라 다른 홈페이지를 해킹해 얻은 개인정보 파일이 다수 발견돼 추가 수사를 검토 중이다.

경찰 관계자는 "외국에 체류 중인 A씨를 조속히 체포해 개인정보 파일을 회수하고, 유출된 정보가 전화금융사기(보이스피싱) 조직 등에 흘러들어가 2차 피해가 발생할 가능성을 차단하겠다"고 말했다.