"사망했으면 코인 못 넘겼겠네"...BTS 정국·재벌 노린 '쌍둥이 유심' 해킹조직

유심 복제·부정개통으로 734억 노린 국제해킹조직 32명 검거
대기업 회장·연예인·정치인 등 271명 개인정보·금융정보 탈취
경찰 "세계적으로도 전례 드문 신종 범죄"

그룹 방탄소년단(BTS) 멤버 정국과 대기업 회장 등 재력가들의 개인정보를 탈취해 734억원 상당의 금융·가상자산을 노린 국제 해킹 범죄조직이 경찰 적발됐다. 이들은 피해가 발생해도 즉각 대응하기 어려운 수감자·군 복무자·사망자 등을 선별해 범행 대상으로 삼았다. 서울경찰청 제공

서울경찰청 제공

오규식 서울청 사이버범죄수사2대장이 21일 해킹범죄총책 검거 관련 브리핑을 하고 있다. 사진=김예지 기자

[파이낸셜뉴스] 그룹 방탄소년단(BTS) 멤버 정국과 대기업 회장 등 재력가들의 개인정보를 탈취해 734억원 상당의 금융·가상자산을 노린 국제 해킹 범죄조직이 경찰에 무더기로 검거됐다. 이 조직은 '쌍둥이 유심'을 만드는 유심 복제와 알뜰폰 부정개통 수법으로 피해자 휴대전화를 사실상 장악한 뒤 금융 OTP 등을 가로채 자산 탈취에 나선 것으로 조사됐다.

21일 서울경찰청 사이버수사과는 특정경제범죄가중처벌법상 컴퓨터등사용사기 등 혐의로 중국 국적 총책 A씨(40)와 B씨(36)를 비롯한 조직원 32명을 검거했다고 밝혔다. 이 가운데 10명은 구속됐고 해외 조직원 9명은 인터폴 적색수배 조치됐다.

경찰은 이들에게 특정경제범죄가중처벌법상 컴퓨터등사용사기 외에도 공동공갈미수, 통신비밀보호법상 감청, 정보통신망법 위반, 컴퓨터등장애업무방해, 공·사문서위조, 주민등록번호 부정사용 등 총 18개 혐의를 적용했다.

이 조직은 총책(해커)-관리책-행동책-세탁책 구조의 점조직 형태로 운영됐다. 총책은 해킹과 자금 이체를 총괄했고 행동책은 인증문자 수신, 세탁책은 가상자산 환전과 통정매매 방식의 범죄수익 세탁을 담당했다.

경찰에 따르면 총책 A·B씨 등은 지난 2022년 5월부터 지난해 4월까지 이동통신사(MNO)와 알뜰폰 사업자(MVNO), 공공·민간 사이트 등을 해킹해 피해자 개인정보와 금융정보를 수집했다. 이후 유심 정보를 복제하거나 피해자 명의 휴대전화를 무단 개통해 금융기관·주식·가상자산 거래소 계정에 침입한 것으로 조사됐다.

경찰이 확보한 대화 내용에는 "공유심 준비됐나" "인증문자 몇 개 갈 거다 번호 올려라" "좋구나 가입 다됐다" 등 유심 복제와 부정개통 과정을 실시간으로 지시하는 정황도 담겼다. 조직은 행동책을 통해 피해자 명의 유심을 개통한 뒤 인증번호를 전달받아 가상자산 거래소 등에 로그인하고 자산을 빼돌린 것으로 파악됐다.

이들은 먼저 피해자 13명의 유심 고유 비밀정보를 복제해 동일 기능의 '쌍둥이 유심'을 만든 뒤 피해자 휴대전화 통신을 끊고 인증문자를 가로채 피해자 4명의 가상자산 약 89억원을 탈취했다. 경찰은 유심의 고유 비밀정보가 이동통신사 서버에 저장된 핵심 정보라는 점에서 이동통신 서버에서 정보가 유출됐을 가능성도 열어두고 수사를 이어가고 있다. 또 유출된 유심 정보만 있으면 동일한 기능의 복제 유심 제작이 가능했다고 설명했다.

이후 경찰과 통신사의 비정상 인증 차단 시스템 구축으로 범행이 어려워지자 조직은 알뜰폰 개통 사이트 해킹으로 수법을 바꿨다. 조직은 알뜰폰 사업자 12곳의 비대면 개통 사이트를 해킹해 피해자 92명 명의로 유심 122개를 무단 개통했다. 또 공공·민간 사이트 10곳을 추가 해킹해 공동인증서·아이핀·금융정보 등을 무단 발급받았고 이를 통해 피해자 24명의 계정에 침입해 약 395억원을 탈취했다. 추가로 250억원 상당을 탈취하려 한 정황도 드러났다.

피해자들에는 기업 회장·대표·임원, 연예인·인플루언서, 정치인·법조인·공무원 등 사회 유력층이 다수 포함됐다. 해킹 피해자는 총 271명으로, 이 가운데 100대 그룹 관련 피해자만 22명에 달했다. 이 중 실제 금전 피해가 발생한 피해자는 21명, 미수 피해자는 7명이었다.

아울러 조직은 유심 복제나 부정개통 피해가 발생해도 즉각 대응하기 어려운 수감자·군 복무자·사망자 등을 선별해 범행 대상으로 삼은 것으로 파악됐다. 실제 총책들은 메신저 대화에서 "갑자기 사망했다는 말은 코인을 가족한테 주지 못했다는 말이지?" "주민번호 나왔니" 등의 대화를 주고받으며 피해자 개인정보와 금융정보를 공유한 것으로 조사됐다.

경찰은 실제 피해자 계좌에서 범죄 조직 계좌로 자금이 넘어간 경우를 '기수', 범행이 시도됐으나 최종 탈취로 이어지지 않은 경우를 '미수'로 분류했다. 전체 피해 규모는 피해자 271명, 총 734억원 상당이다. 실제 피해액은 484억원으로 집계됐다. 피해자들의 금융정보 조회 규모는 총 55조2200억원 상당이었으며 피해자 1명 계좌 잔액만 최대 12조원에 달한 것으로 조사됐다.

경찰은 수사를 위해 약 3년 11개월간 수사관 55명을 투입하고 압수수색 영장 531건을 집행했다고 밝혔다. 또 지급정지와 이상거래 탐지 등을 통해 피해금 213억원 상당을 회복했으며 범죄수익 추적·환수도 이어가고 있다고 설명했다.

아울러 경찰은 통신사와 비정상 인증 차단 시스템을 구축하고 공공·민간 사이트 23곳의 보안 취약점을 조치했다. 과학기술정보통신부 등 관계기관과 41차례 회의를 거쳐 알뜰폰 사업자에도 정보보호관리체계(ISMS)와 정보보호최고책임자(CISO) 지정 의무를 부과하는 법령 개정에 참여했다. 인터폴 '보라색 수배서'를 통해 신종 유심 복제 범죄 수법과 예방 정보도 해외 수사기관과 공유했다.

오규식 서울청 사이버범죄수사2대장은 "이번 사건은 전 세계적으로도 유례를 찾기 어려운 신종 범죄"라며 "검찰과 협력해 공소 유지에 필요한 수사를 이어가는 한편 범정부 초국가범죄 특별대응 TF 일원으로 범죄수익 추적·환수에도 최선을 다하겠다"고 덧붙였다.

현재 총책 B씨는 지난해 8월 국내 송환돼 1심 재판이 진행 중이며 A씨는 지난 13일 송환된 뒤 이달 15일 구속됐다.

경찰은 A씨를 18개 혐의로 오는 22일 검찰에 송치할 예정이다.

yesji@fnnews.com 김예지 기자