▽해커는 누구?=인터넷 이용자의 개인정보를 이용해 돈을 인출했다가 적발된 이모(20) 씨는 고등학교를 중퇴한 뒤 PC방을 전전하며 온라인게임 아이템을 훔쳐 팔았다. 이 때문에 모두 4차례 입건됐고 9차례나 경찰의 수배를 받았다.
그는 온라인게임 아이템을 훔칠 때뿐 아니라 인터넷뱅킹을 해킹할 때 ‘넷 데블(net devil)’이라는 프로그램을 사용했다. 인터넷을 통해 내려받았고 인터넷을 통해 사용방법을 배웠다.
2002년 개발된 이 프로그램은 외국 인터넷 사이트나 P2P(Peer to Peer·개인 간 파일공유) 사이트에서 쉽게 구할 수 있다. 포털사이트에서는 업그레이드된 변종 프로그램이 계속 나오고 있다.
 |
이 씨는 해킹을 통해 인출한 5000만 원 가운데 2000만 원은 온라인게임 아이템을 구입하는 데 썼고 1900여만 원은 컴퓨터 구입비와 도피 자금으로 사용했다고 경찰에서 진술했다. 나머지 1100여만 원은 경찰이 회수했다.
▽어떻게 빼냈나=‘넷 데블’ 프로그램의 특징은 해커가 지정한 글이나 그림을 클릭하면 자신의 컴퓨터에 자동으로 깔린다는 점.
이용자는 자신의 컴퓨터에 프로그램이 깔리는지를 전혀 알 수 없지만 해커는 상대방이 컴퓨터 자판에 입력하는 내용을 자신의 컴퓨터를 통해 실시간으로 볼 수 있다. 상대방이 어떤 화면을 보는지도 파악이 가능하다.
이 씨는 이런 ‘키 스트로크(key stroke)’ 방식으로 피해자의 거래은행과 계좌번호, ID, 비밀번호, 공인인증서 비밀번호, 보안카드번호를 모두 알아냈다.
전문적인 해커가 아니라 하더라도 이 프로그램을 이용하면 상대방의 개인정보를 빼내는 일이 그다지 어렵지 않다는 것. 이 씨는 4월 자신의 계좌를 이용해 예행연습을 한 뒤 바로 실행에 옮겼다.
▽허술한 보안장치=인터넷뱅킹을 하기 위해서는 30여 가지의 보안카드번호를 모두 알아야 한다. 접속할 때마다 요구하는 번호가 다르기 때문이다.
이 씨가 알고 있던 피해자의 보안카드번호는 모두 5개에 불과했다. 그러나 이 씨는 인터넷뱅킹 사이트에 여러 차례 접속하면서 문제를 쉽게 해결했다.
인터넷뱅킹 사이트에 접속한 뒤 보안카드번호가 다르면 접속을 끊고 다시 시도하는 방식인데 결국 보안카드번호를 1개만 알아도 30차례 시도하면 돈을 인출할 수 있기 때문.
안철수연구소 시큐리티대응센터의 강은성(姜恩成) 상무는 “백신프로그램과 방화벽을 설치해 이용자 스스로 개인정보가 유출되지 않도록 해야 한다”며 “피해자가 발생하지 않도록 정부와 금융계도 더욱 철저한 보안시스템을 마련해야 한다”고 말했다.
이재명 기자 egija@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0