[알라딘·시대인재 고교생 해커 사건]
전문가급 실력 장착, 온라인 서점 타깃
SNS로 협박, 가상화폐 받아 추적 피해
5월 서울 서대문구의 한 지하철역 물품보관함에서 전자책 해킹 사건의 현금수거책으로 활동한 C씨가 거액이 든 종이봉투를 꺼내고 있다. 경찰청 제공
올해 5월 서울 서대문구의 한 지하철역. 붐비는 인파 사이로 검은색 옷차림에 장발을 한 20대 남성이 물품보관함 앞에서 서성였다. 그는 얼굴도 검은색 마스크로 가린 채 폐쇄회로(CC)TV를 의식하는 등 계속 주변을 경계하며 휴대폰으로 누군가와 한참을 통화했다.
이윽고 천천히 보관함에 다가가 비밀번호를 누른 남성은 갈색 종이봉투를 꺼내자마자 바람처럼 사라졌다. 봉투 안에 들어있던 건 7,500만 원의 거금. 비상한 머리로 '완전범죄'를 꿈꾸며 출판업계를 발칵 뒤집어놓은 16세 고교생 해커의 꼬리가 처음 잡힌 순간이었다.
독학 코딩 천재, 범죄 유혹에 빠지다
게티이미지뱅크
평범한 학교생활을 하던 고교 2학년 A군은 평소 책에 관심이 많았다. 스마트폰과 정보기술(IT) 기기에 익숙해 '전자책(e북)'으로 책 보기를 좋아했다. 하지만 비싼 책값이 문제였다. 국내 주요 온라인서점들은 종이책보다 저렴한 가격에 전자책을 판매했지만, 원하는 책 전부를 손에 넣기엔 역부족이었다.
A군의 소유욕을 자극한 건 '코딩'이었다. 코딩을 배우면서 디지털저작권관리기술(DRM)을 풀 수 있는 방법에 눈을 뜬 것이다. 경찰에 따르면, 그는 독학으로 코딩을 공부했는데도 전문가 수준의 실력을 갖춘 것으로 전해졌다. 어릴 때부터 프로그래밍에 두각을 나타낸 천재가 바로 그였다. 경찰 관계자는 "A군의 실력은 일반인을 한참 뛰어넘었고, 서버 운영방식 등 네트워크 구조에 대한 이해도도 전문가급이었다"고 혀를 내둘렀다.
전자책 등 온라인 콘텐츠는 통상 DRM을 이용한 복호화 방식에 기반한다. 판매하는 콘텐츠에 특정 복호화 키로만 풀리는 보안장치를 걸어놓고, 이 키를 돈을 받고 고객들에게 파는 것이다. 직장인들이 업무상 보안이 필요한 워드나 엑셀, PDF 파일 등에 비밀번호를 설정하는 것과 비슷한 원리로 보면 된다.
문제는 업체가 복호화 키의 안정성을 맹신했다는 점이다. 돈을 낸 고객이 아니어도 누구나 콘텐츠를 내려받는 게 가능했다. 전자책이나 동영상 스트리밍 서비스는 CDN이라는 캐시서버에 암호화된 콘텐츠로 보관한다. 그런데 해당 서버는 고객 편의를 위한다는 명목으로 인증절차나 정책이 아주 허술하다. 즉 복호화 키만 유출되면 회사가 보유한 모든 지식콘텐츠도 도둑맞을 수 있는 구조나 다름없는 셈이다.
A군은 이런 취약성을 정확히 간파했다. 첫 번째 타깃은 온라인서점 알라딘. 그는 해킹으로 알라딘이 보유한 전자책 72만 권의 복호화 키를 확보하는 데 성공했다. 책 욕심이 많았던 그였기에 목적은 충분히 달성한 것처럼 보였다. 그러나 머릿속에 다른 욕심이 똬리를 틀었다. A군은 해킹한 전자책을 빌미로 업체를 협박해 돈을 뜯어내기로 했다.
텔레그램, 비트코인, 전달책... 치밀했던 범행
고교생 해커 A군은 5월 텔레그램을 통해 해킹으로 탈취한 전자책 5,000권을 유포했다. 경찰청 제공
5월 16일 사회관계망서비스(SNS) 텔레그램의 한 대화방에서 해커가 알라딘을 해킹해 100만 권을 유출했다며 샘플로 5,000권의 전자책을 유포했다. 소식은 온라인커뮤니티와 SNS를 통해 삽시간에 퍼졌고, 해당 공유방 참가자는 금세 3,000명을 돌파했다. 해커가 공개한 전자책은 소설부터 인문서까지 종류도 다양했다. 범인은 A군이었다.
업체는 더 큰 피해를 막기 위해 울며 겨자 먹기로 협박에 굴복했다. A군이 요구한 액수는 100비트코인. 당시 시세로 36억 원, 현재 가치로는 56억 원이나 되는 거금이었다. 그는 완전범죄를 자신했다. 비트코인을 대가로 받아 수사망을 피했고, 요구를 들어주지 않으면 나머지 전자책도 유포하겠다고 업체에 엄포를 놨다. 이참에 해킹 실력도 과시하고 싶었다.
협상 끝에 양측은 8비트코인(2억8,800만 원)을 주고받는 선에서 합의했다. 알라딘 입장에선 전자책 유출은 비단 자사의 금전적 손실뿐 아니라 저작권자들의 피해로 이어질 수밖에 없는 터라 선택의 여지가 없었다. 협상을 끌고 가 수사기관이 피의자를 특정할 때까지 시간을 벌려는 계산도 있었다.
A군의 범행 시나리오는 생각지도 못한 부분에서 꼬였다. 업체는 가상거래소를 통해 비트코인을 보내려 했지만, 거래소 자동모니터링 시스템이 이상거래로 판단해 0.3비트코인(1,080만 원)만 손에 들어온 것. 그러자 그는 남은 액수를 현금으로 달라고 알라딘 측을 재차 압박했다.
계획이 다소 어긋났지만, A군은 평정심을 잃지 않았다. 절대 스스로를 드러내지 않고 텔레그램에서 알게 된 B(29)씨와 C(25)씨를 전달책으로 활용했다. 온라인 세계에서 나이의 많고 적음은 큰 문제가 되지 않았다. 또 인터넷을 쓰고 싶을 땐 인터넷 프로토콜(IP) 주소를 세탁할 수 있는 가상사설망(VPN)을 사용하는 등 흔적을 남기지 않으려 최대한 애썼다.
지하철역 물품보관함에서 7,500만 원을 찾은 사람이 C씨다. 세 사람은 A군이 4,800만 원, B씨가 1,500만 원, C씨가 2,000만 원씩 나눠 가졌다. A군은 이 돈으로 서버나 IT 기기를 구입했다고 한다.
200억 탈취한 고교생 해커... 취약한 보안 도마에
게티이미지뱅크
'절반의 성공'을 거뒀기 때문일까. 10대의 대담한 범행은 멈추지 않았다. 한 달여가 지난 7월 이번엔 유명 입시학원 시대인재·메가스터디를 해킹해 700개 강의 영상의 복호화 키를 유출했다. 다만 같은 수법으로 1억8,000만 원을 요구했으나 학원 측이 협상에 응하지 않아 미수에 그쳤다. 그러자 A군은 다시 다른 온라인서점으로 눈을 돌려 전자책 143만 권을 빼냈다. 그가 훔친 전자책과 일타강사 강의영상 가치를 합치면 무려 200억 원이 넘는다.
그러나 욕심이 지나치면 화를 부르기 마련이다. 경찰은 폐쇄회로(CC)TV 영상 분석 등 끈질긴 수사를 거쳐 전달책 B씨와 C씨를 먼저 검거하고, 코인 계좌를 추적해 결국 A군을 붙잡았다. 온라인 공간에서 왕으로 군림하며 수사망을 이리저리 빠져나갔던 청소년의 범죄 행각은 그렇게 막을 내렸다.
경찰은 9월 A군을 특정경제범죄가중처벌법상 컴퓨터 등 사용 사기, 정보통신망법 위반 등 혐의로 검찰에 송치했다. 사건을 넘겨받은 서울동부지검도 10월 기소해 그는 구속 상태로 재판을 받고 있다. 검찰 관계자는 "A군이 미성년이긴 하나 불법 취득한 자료가 방대한 데다, 온라인서점을 상대로 거액의 금품까지 갈취한 범죄 수법 등을 감안해 구속기소했다"고 설명했다.
이번 사건은 출판·학원업계를 쑥대밭으로 만든 해커의 정체가 10대라는 점에서 흥미를 끌었다. 하지만 온라인 콘텐츠의 취약한 보안을 다시 한번 드러낸 부분에 좀 더 주목해야 한다. 경찰은 우선 문화체육관광부와 한국인터넷진흥원 등 관계기관에 표준화된 전자책 보안기술을 개발해 추가 피해를 막아달라고 권고했다. 경찰 관계자는 "전자저작물 유통 생태계를 위협하는 범죄에 적극 대응해야 할 필요성이 커지고 있다"고 강조했다.
기사 URL이 복사되었습니다.
댓글0