[디지털투데이 박근모 기자] 이스트소프트의 PC 유틸리티 프로그램 알툴즈에 가입된 회원 약 16만명, 2500만여건에 달하는 개인정보를 유출해 비트코인을 요구한 피의자가 경찰에 검거됐다. 이번 사이버범죄는 탈취한 개인정보의 몸값으로 이스트소프트 측에 비트코인을 요구했으며, 유출된 개인정보로 사용자들의 가상화폐 계좌에 접속해 가상화폐를 훔치는 등 2차 피해도 발생한 것으로 밝혀졌다.

경찰청 사이버수사과는 10일 지난해 이스트소프트의 알툴즈에 가입된 회원정보를 유출해 정보통신망법 위반 등 혐의로 중국 국적의 조모씨를 검거하고, 협박 행위에 가담한 한국인 공범의 신원을 확인해 추적하고 있다고 밝혔다.

경찰청에 따르면 이들은 지난해 2월 9일부터 9월 25일까지 이스트소프트의 알툴즈 회원 16만6000여명의 아이디와 비밀번호 등 개인정보 2540만건을 탈취 후 이스트소프트 측에 비트코인을 요구했다.

이번 사이버범죄는 이스트소프트의 PC 유틸리티 프로그램 시리즈 알툴즈 중 각종 웹사이트들의 아이디와 비밀번호 등을 통합 관리하는 '알패스'를 타깃한 것으로 확인됐다.

알패스는 웹사이트들의 아이디와 비밀번호를 저장해 두고, 해당 웹사이트에 접속 시 사용자가 직접 아이디와 비밀번호를 입력하지 않아도 자동으로 입력해주는 프로그램이다.

경찰청 측은 피의자들이 1차적으로 다른 경로로 유출된 아이디와 비밀번호를 확보한 뒤 이를 알패스에 자동 입력하는 매크로 프로그램인 '알패스(Alpass)3.0.exe'을 만들어, 유출된 아이디 및 비밀번호와 동일한 알패스 사용자 계정을 확보한 것으로 보인다고 설명했다.

이들은 탈취한 개인정보 2540만건 중 43만건을 이스트소프트 측에 제시하며 67회에 걸쳐 현금 5억원에 해당하는 비트코인을 요구했다. 이스트소프트는 몸값을 요구하는 협박에 응하지 않고 수사기관에 신고하면서 피해 사실이 알려지게 됐다.

경찰청에 따르면 이들은 알툴즈에서 탈취한 개인정보를 이용해 대포폰 개설, 서버 임대, 가상화폐 계정 접속 등 2차 범죄에 활용됐다. 특히 알툴즈에 저장된 개인정보와 동일한 가상화폐 거래소 계정에 로그인에 성공해 당시 시세로 800만원에 해당하는 2.1비트코인을 자신들의 지갑으로 전송하는 등 실제 피해도 발생했다.

경찰 관계자는 "비트코인 이체를 위해서는 아이디와 비밀번호 외에도 다양한 개인정보가 필요한 만큼 실제 피해 금액은 크지 않았다"라며 "이용자들은 유사 피해 예방을 위해 신분증, 신용카드 등의 중요 정보가 촬영된 사진이 포털 웹사이트에 자동 저장되지 않도록 스마트폰 사용에 주의해야 한다"고 당부했다.

한편, 경찰은 방송통신위원회, 한국인터넷진흥원(KISA) 등과 협력해 관련 웹사이트에 유출회원의 비밀번호를 바꾸도록 요청했다. 인터넷 웹사이트 운영업체에게는 아이디와 비밀번호를 기계적으로 입력하는 공격을 탐지할 수 있도록 보안을 강화할 것을 권고했다.