삼성·SK·교육부 등 사칭계정 100개 만들어 판매
5만원이면 계정 확보…도메인 변경 우회로 활용
"일반인은 불가…보안·개발지식 있으면 가능"
블라인드 "검증에 시간 걸려…100% 차단"
5만원이면 계정 확보…도메인 변경 우회로 활용
"일반인은 불가…보안·개발지식 있으면 가능"
블라인드 "검증에 시간 걸려…100% 차단"
[파이낸셜뉴스] 블라인드의 허위 계정을 만들어 사고 파는 정황이 확인되면서 국내 최대 직장인 익명 커뮤니티가 신뢰도에 금이 갈 위기에 처했다. 소속 회사가 검증된 사람들이 모인 온라인 공간이라는 점 때문에 수많은 가입자를 모았지만 이성과의 만남 등을 목적으로 허위 계정이 거래된 사실이 확인돼서다.
팀블라인드는 비정상 경로로 가입된 경우 검증을 거쳐 100% 차단하고 있다는 입장이다. 하지만 프로그래밍 지식을 가진 전문가라면 범행이 가능하고 실제 허위 계정을 사용해 활동한 이력이 확인되면서 논란은 커질 것으로 우려된다.
7일 경찰에 따르면, 정보기술(IT) 업체에서 근무 중인 A씨(35)는 지난 6월 말부터 8월 초까지 100개의 블라인드 계정을 만들어 판매하다 지난 1일 검거됐다.
A씨는 구매자가 원하는 유명 대기업과 공공기관 인증이 완료된 블라인드 계정을 만들어 판매했다. 삼성, SK, LG 등의 계열사와 교육부 등도 여기에 포함됐다. 허위로 생성된 경찰 계정은 3개로 파악됐다. 개인간 거래사이트를 통해 계정당 4만~5만원에 거래됐다.
이에 A씨가 인증 방식에서 허점을 발견하면서 블라인드의 신뢰도가 훼손되는 것 아니냐는 우려가 제기되고 있다. 허위로 생성된 이메일을 이용해 블라인드의 인증 절차를 통과했기 때문이다. 경찰 관계자는 "일반인은 이런 방식을 사용할 수 없다"면서도 "이메일 보안에 대한 지식과 프로그래밍 실력이 있으면 가능한 방법"이라고 말했다.
경찰당국은 A씨가 특정 사이트에서 발신자 이메일 주소를 바꾸는 프로그램을 만들어 활용했다고 본다. 네이버 메일 사이트에서 '@naver.com'으로 표시된 발신자를 '삼성전자' 도메인으로 바꾸는 식이다. 네이버, 다음 등 많이 사용되는 사이트는 과거 스팸메일 등에 활용되는 문제점을 보완, 보안이 강화돼 이런 방법은 이미 차단됐지만 일부 사이트에서는 가능한 실정이다. 가짜로 도메인을 만드는 방식은 대기업과 공공기관 사이트의 보안체계와도 무관했다. 다만 경찰은 모방범행 등을 우려해 구체적인 방법은 언급하지 않았다.
그러나 블라인드는 차단에 시간이 걸릴 뿐 비정상 경로로 가입된 모든 이용자를 차단할 수 있다는 입장이다. 블라인드는 잘못된 방식의 가입 시도를 상시 모니터링해 차단한다. 이미 가입된 계정이 비정상적으로 가입됐는지에 대해서는 주기적으로 패치를 돌려 서비스 접속을 막는다.
이와 관련, 블라인드 관계자는 "브라인드 특허 로직은 이메일과 계정의 연결고리가 없는 게 핵심"이라며 "다만 계정이 접속을 시도할 때 이메일이 정상적인지를 파악해 문제 이메일을 특정한 뒤 검증 과정을 거쳐 차단한다. 서비스 시작 후 10년 간 수없는 공격 시도를 받으면서도 정체성을 지켜왔다"고 말했다.
경찰을 사칭한 계정 역시 패치를 통해 차단됐을 것으로 블라인드 측은 보고 있다. 경찰 계정으로 살인 예고글을 올린 B씨는 7월 중순 구매한 뒤 8월 21일 살인예고성 글을 올리고 하루 만에 검거됐다. B씨는 한 달 가량 허위 계정으로 블라인드에서 활동했는데, 검증 절차를 거쳐 100% 차단 가능하다는 게 블라인드의 설명이다.
경찰은 A씨가 사용한 방식으로 생성된 계정이 추가로 존재하는지 블라인드에 정보를 요청했지만 블라인드는 이를 확인할 수 없다는 입장이어서 추가 수사는 쉽지 않을 것으로 예상된다. 다만 경찰은 A씨가 생성해 직접 사용하는 계정이 차단됐고 테스트에서도 해당 방식이 차단된 점을 확인했다.
A씨가 판매한 계정에 대해서도 블라인드의 협조가 필요하다. 허위 계정을 구매한 것 자체로는 문제삼을 수 없고, 계정에 접속했는지 확인해야 처벌이 가능해서다. 블라인드가 판매된 계정이 사이트에서 실제 활동했는지 확인해주지 않으면 접속을 증명할 방법이 없다는 게 경찰 측 설명이다. 다만 판매자와 대화 내역 등을 통해 신원 특정은 가능하다.
이에 따라 경찰은 블라인드 본사와 서버가 있는 미국과 공조할 것으로 예상된다. 경찰은 필요할 경우 형사사법공조를 요청한다는 계획이다.
A씨는 정보통신망법상 침입죄, 형법상 위계에 의한 업무방해죄, 형법상 사전자기록위작죄가 적용됐다. 다만 A씨 직장과 주거 등이 일정하고 증거를 모두 확보해 구속영장은 신청하지 않기로 했다. 경찰 계정으로 살인예고글을 작성한 B씨에 대해서는 협박죄 정보통신망법상 침입죄, 경범죄처벌법상 감명사칭을 적용해 송치할 예정이다.
이승운 경찰청 국가수사본부 사이버테러수사대장은 "살인 예고 게시자를 끝까지 추적·검거하는 등 적극적인 수사를 통해 사회적 불안감을 해소하기 위해 노력하겠다"고 말했다.
unsaid@fnnews.com 강명연 기자
unsaid@fnnews.com 강명연 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지