홈플러스 모바일 상품권/사진=홈플러스 제공
6개월에 걸친 경찰 조사 결과 사건의 원인은 홈플러스가 해명한 '전산 오류'가 아니라 소비자들이 지적했던 해킹 탓이었다. 무려 89만건의 홈플러스 모바일 상품권 정보가 중국 해킹 조직에 넘어갔던 것. 탈취된 모바일 상품권 정보는 아무런 안전장치도 없이 관리의 사각지대에 놓여 있었다.
서울지방경찰청 사이버수사대는 홈플러스의 모바일 상품권 정보를 해킹해 수억원대의 돈을 가로챈 혐의(정보통신망이용촉진및정보보호등에관한법률 위반 등)로 중국 해킹조직원인 중국동포 장모씨(46·여)를 구속하고 같은 조직원 이모군(17) 등 중국동포 2명을 불구속 입건했다고 2일 밝혔다.
경찰은 또 중국 산동성 웨이하이에 거주 중인 조직원 조모씨(26·여) 등 조직원 3명에 대해 수배령을 내렸다. 아울러 해킹조직에 대포폰 등을 공급한 혐의 등으로 방모씨(27)를 구속했으며, 다른 대포업자 5명과 대포폰 명의자 19명을 불구속 입건했다.
경찰에 따르면 장씨 등 해킹조직원들은 지난해 12월부터 올해 1월까지 홈플러스 모바일 상품권 발송을 담당한 A대행사의 서버에 침투해 잔액 11억원이 들어 있는 89만건, 액수로 따지면 560억원 규모의 상품권 정보를 빼돌린 혐의를 받고 있다. 이들은 빼돌린 정보 중 950여건을 종이 상품권으로 바꿔 쓰거나 싼값에 팔아넘기는 수법으로 총 1억1000만원 상당의 부당 이득을 챙겼다.
해킹조직은 수사기관의 추적을 피하기 위해 중국 메신저 '위챗'으로 범행을 모의했으며 대포업자 6명이 건넨 대포폰과 대포통장을 사용했다고 경찰은 전했다.
방씨 등 대포업자들은 해킹 조직에게 대포폰을 판매하는 과정에서 급전이 필요한 20대들에게 '무직자 소액 대출' 명목으로 대포폰을 개통해주는 대신 기기 1대당 15만~40만원을 받거나 사채를 알선하고 대출액의 절반을 수수료로 떼가는 수법으로 총 4억원을 챙긴 것으로 밝혀졌다.
◇'방화벽·탐지시스템·확인절차' 3無 홈플러스…모바일상품권 무단사용 방지책은
경찰조사결과 해킹조직이 표적으로 삼은 홈플러스 상품권 발송 서버는 해킹에 무방비 상태였다. 경찰 관계자는 "문제의 서버는 방화벽이나 침입 탐지시스템 등 최소한의 해킹 방어수단조차 설치돼 있지 않았다"며 "상품권 정보가 암호화된 상태도 아니었다"고 말했다.
이에 대해 모바일 상품권 발송을 맡은 A대행사 측은 "발행사 측에서 신속한 발송을 요청해 보안시스템을 제대로 갖추지 못했다"고 진술한 것으로 전해졌다.
더불어 해킹조직은 일련번호와 핀번호(PIN번호)만 알면 모바일 상품권 사용에 아무런 장애가 없다는 점을 노렸다. 경찰이 확보한 CCTV(폐쇄회로TV)에는 구속된 장씨가 홈플러스 분당오리점, 잠실점 등을 돌며 모바일 상품권을 종이 상품권으로 교체하는 장면이 찍혀 있다. 해킹으로 빼낸 상품권 일련번호와 핀 번호를 건네받는 것 외에 추가 확인절차는 전무했다.
경찰에 따르면, 모바일 상품권을 사용할 때 최종 사용자에 대한 신분 확인이 이뤄지는 경우는 드물다. 또 최초 구매자가 타인에 판매·양도해도 기록이 남지 않아 실제 소유자가 누구인지 알기도 어렵다. 모바일 상품권을 악용한 추가 범죄가 우려되는 대목이다.
사건을 수사한 경찰 관계자는 "모바일 상품권의 무단 사용 피해를 줄이기 위한 절차를 마련할 필요가 있다"며 "사용 시 바코드 등 일련번호와 핀번호 외에 추가적인 상품권 증표를 제시하거나, 구매자가 잔액을 조회하지 않아도 상품권 사용여부를 알 수 있도록 사용 시 문자메시지를 전송하는 방법 등을 고려해볼만 하다"고 당부했다.