경찰청 사이버테러대응센터는 인터넷 쇼핑몰 결제시스템의 허점을 파고든 해킹프로그램을 만들어 100여 차례 수십만 원 대의 물건을 수천 원에 구입한 혐의(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반)로 14일 이모(35) 씨를 구속했다.
경찰에 따르면 8년 경력의 컴퓨터 프로그래머인 이 씨가 인터넷 쇼핑몰 결제시스템 해킹 프로그램을 만든 건 지난 해 5월. 당시 중소 정보기술(IT) 회사 직원으로 쇼핑몰 사이트 분석 업무를 진행하던 이 씨는 쇼핑몰 사이트의 결제 시스템에 커다란 허점이 있다는 것을 알게 됐다.
구매자가 사이버 쇼핑몰에서 물건을 사기 위해 카드결제를 하면 쇼핑몰에는 고객이 얼마짜리 물건을 구입했다는 '구매정보'가, 결제대행업체에는 물건 값으로 얼마를 결제한다는 '결제정보'가 전송된다. 이후 결제대행업체는 구매자로부터 받은 '결제정보'를 승인한 뒤 쇼핑몰로 보낸다.
문제는 쇼핑몰 측이 구매정보와 결제정보가 일치하는지만 확인할 뿐 실제 상품 가격과도 같은지는 확인하지 않는다는 것. 이 씨는 이 허점을 노려 쇼핑몰에서 구매정보와 결제정보를 마음대로 바꿀 수 있는 해킹프로그램을 만들었다.
이 씨는 이 프로그램을 이용해 2005년 7월부터 지난달까지 LG생활건강, 티켓링크, 아이리버, YES24 등 81개 인터넷 쇼핑몰에서 111차례에 걸쳐 1200만 원 어치의 물건을 구입했다. 그러나 실제 이 씨가 지불한 물건값은 12만 원 정도에 불과했다. 이 씨는 물건을 살 때마다 정상가격의 100분의 1로 물건값을 수정한 뒤 결제를 신청했다.
이 씨는 한 쇼핑몰에서 3번 이상 물건을 사지 않고 값비싼 물건을 구입했다가 범행이 탄로날까봐 주로 영화표, 차량 네비게이터, 컴퓨터 부품, 휴대용 게임기 등 25만 원 미만의 물건만 주문했다. 인터넷 쇼핑몰에 가입할 때도 인터넷에서 빼낸 2만2000여 명의 타인의 신상정보를 이용했다.
그러나 이 씨는 인터넷 쇼핑몰에서는 흔치 않은 1000원 대 신용카드 결제정보가 여러 차례 전송되는 점을 수상히 여긴 한 결제대행업체의 신고로 덜미를 잡혔다.
경찰청 사이버테러대응센터 정석화 경감은 "이 씨가 해킹프로그램을 인터넷에 유포했다면 쇼핑몰 업체들이 엄청난 피해를 볼 뻔했다"고 말했다.
이종석기자 wing@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0