"전산오류라더니"…홈플러스 상품권 실종사건 "해킹탓"

머니투데이 김종훈 기자 2015.08.02 09:00
글자크기

中해킹조직, 89만건·560억원 규모 해킹… 일련번호·핀번호 외 추가 보안수단 마련해야

홈플러스 모바일 상품권/사진=홈플러스 제공홈플러스 모바일 상품권/사진=홈플러스 제공


#지난 1월2일 한모씨(32·여)는 새해를 맞아 장을 보다 황당한 일을 겪었다. 지난해 6월쯤 샀던 10만원짜리 홈플러스 모바일 상품권 2매를 막상 쓰려 했더니 모두 '잔액없음'으로 조회됐기 때문이다. 당황한 한씨는 홈플러스와 상품권 발행사에 연락했지만 모두 고객에게 책임을 미뤘다.



한씨가 '혹시나…' 하는 마음에 인터넷 정보공유 사이트에 피해 사례를 올리자 수십개의 댓글이 달렸다. 대부분 같은 피해를 봤다는 내용이었다. 논란이 확산되자 홈플러스는 "전산 오류에 따른 중복발행"이라고 해명했다. 오류로 한 개의 상품권이 복수 소비자에게 발행됐고, 다른 소비자가 이미 사용하는 바람에 빚어진 단순 실수라는 설명이었다. 그러나 피해자들 사이에선 '홈플러스가 해킹당한 것 아닌가'라는 의혹이 일었다.

6개월에 걸친 경찰 조사 결과 사건의 원인은 홈플러스가 해명한 '전산 오류'가 아니라 소비자들이 지적했던 해킹 탓이었다. 무려 89만건의 홈플러스 모바일 상품권 정보가 중국 해킹 조직에 넘어갔던 것. 탈취된 모바일 상품권 정보는 아무런 안전장치도 없이 관리의 사각지대에 놓여 있었다.



◇中해킹조직, 홈플러스 모바일상품권 정보 89만건 빼돌려
서울지방경찰청 사이버수사대는 홈플러스의 모바일 상품권 정보를 해킹해 수억원대의 돈을 가로챈 혐의(정보통신망이용촉진및정보보호등에관한법률 위반 등)로 중국 해킹조직원인 중국동포 장모씨(46·여)를 구속하고 같은 조직원 이모군(17) 등 중국동포 2명을 불구속 입건했다고 2일 밝혔다.

경찰은 또 중국 산동성 웨이하이에 거주 중인 조직원 조모씨(26·여) 등 조직원 3명에 대해 수배령을 내렸다. 아울러 해킹조직에 대포폰 등을 공급한 혐의 등으로 방모씨(27)를 구속했으며, 다른 대포업자 5명과 대포폰 명의자 19명을 불구속 입건했다.

경찰에 따르면 장씨 등 해킹조직원들은 지난해 12월부터 올해 1월까지 홈플러스 모바일 상품권 발송을 담당한 A대행사의 서버에 침투해 잔액 11억원이 들어 있는 89만건, 액수로 따지면 560억원 규모의 상품권 정보를 빼돌린 혐의를 받고 있다. 이들은 빼돌린 정보 중 950여건을 종이 상품권으로 바꿔 쓰거나 싼값에 팔아넘기는 수법으로 총 1억1000만원 상당의 부당 이득을 챙겼다.


해킹조직은 수사기관의 추적을 피하기 위해 중국 메신저 '위챗'으로 범행을 모의했으며 대포업자 6명이 건넨 대포폰과 대포통장을 사용했다고 경찰은 전했다.

방씨 등 대포업자들은 해킹 조직에게 대포폰을 판매하는 과정에서 급전이 필요한 20대들에게 '무직자 소액 대출' 명목으로 대포폰을 개통해주는 대신 기기 1대당 15만~40만원을 받거나 사채를 알선하고 대출액의 절반을 수수료로 떼가는 수법으로 총 4억원을 챙긴 것으로 밝혀졌다.

◇'방화벽·탐지시스템·확인절차' 3無 홈플러스…모바일상품권 무단사용 방지책은
경찰조사결과 해킹조직이 표적으로 삼은 홈플러스 상품권 발송 서버는 해킹에 무방비 상태였다. 경찰 관계자는 "문제의 서버는 방화벽이나 침입 탐지시스템 등 최소한의 해킹 방어수단조차 설치돼 있지 않았다"며 "상품권 정보가 암호화된 상태도 아니었다"고 말했다.

이에 대해 모바일 상품권 발송을 맡은 A대행사 측은 "발행사 측에서 신속한 발송을 요청해 보안시스템을 제대로 갖추지 못했다"고 진술한 것으로 전해졌다.

더불어 해킹조직은 일련번호와 핀번호(PIN번호)만 알면 모바일 상품권 사용에 아무런 장애가 없다는 점을 노렸다. 경찰이 확보한 CCTV(폐쇄회로TV)에는 구속된 장씨가 홈플러스 분당오리점, 잠실점 등을 돌며 모바일 상품권을 종이 상품권으로 교체하는 장면이 찍혀 있다. 해킹으로 빼낸 상품권 일련번호와 핀 번호를 건네받는 것 외에 추가 확인절차는 전무했다.

경찰에 따르면, 모바일 상품권을 사용할 때 최종 사용자에 대한 신분 확인이 이뤄지는 경우는 드물다. 또 최초 구매자가 타인에 판매·양도해도 기록이 남지 않아 실제 소유자가 누구인지 알기도 어렵다. 모바일 상품권을 악용한 추가 범죄가 우려되는 대목이다.

사건을 수사한 경찰 관계자는 "모바일 상품권의 무단 사용 피해를 줄이기 위한 절차를 마련할 필요가 있다"며 "사용 시 바코드 등 일련번호와 핀번호 외에 추가적인 상품권 증표를 제시하거나, 구매자가 잔액을 조회하지 않아도 상품권 사용여부를 알 수 있도록 사용 시 문자메시지를 전송하는 방법 등을 고려해볼만 하다"고 당부했다.
TOP