경찰이 개인정보를 해킹해 유심(USIM)을 복제∙무단개통하는 방식으로 대기업 회장, 방탄소년단(BTS) 멤버 등의 금융∙개인정보를 탈취한 국제 해킹 조직 일당을 4년 간 수사 끝에 검거했다고 밝혔다. 경찰에 따르면 이들이 주요 타깃으로 삼은 재력가들의 자산 규모가 수십조원에 달했으며 피해액만 484억원에 달했다.

 

서울경찰청 사이버수사대는 21일 특정경제범죄 가중처벌 등에 관한 법률 위반, 통신비밀보호법 위반, 정보통신망법 위반 등 혐의로 송환된 중국인 총책 A(40)씨, B(35)씨 등 10명을 구속, 22명을 불구속 송치하고 해외 조직원 9명을 적색수배 조치했다고 설명했다.

 

검거된 총책 A씨는 지난 2022년 5월부터 1년여간 이동통신사업자(MNO)를 사용하는 방식으로 13명 명의 유심 고유 비밀번호를 복제하고, 이를 바탕으로 약 89억원 상당의 가상자산을 탈취한 혐의를 받는다. 그는 복제한 정보를 사용한 ‘쌍둥이 유심’으로 피해자 명의 휴대전화를 기기변경 처리되도록 했고, 일회용 인증번호(OTP) 등을 가로채 이 중 4명의 가상자산 거래소 계정에 침입했다.

 

이들 조직은 유심을 복제할 뿐 아니라 명의를 도용해 무단으로도 개통했다. 이들은 2023년 7월부터 지난해 4월까지 알뜰폰 사업자(MNVO) 비대면 개통사이트를 해킹해 92명 명의 유심 122개를 무단개통했다. 또 공공∙민간 사이트 10곳을 해킹해 개인∙금융정보를 조회하고 아이핀, 공동인증서 등을 무단 발급받은 혐의도 받는다. 이들에겐 이를 통해 24명의 금융기관∙가상자산 거래소 계정에 침입해 약 395억원의 금융자산을 탈취하고, 추가로 250억원 상당을 가로채려다 미수에 그친 혐의도 있다.

 

범죄 조직은 재력가들이 구속∙사망∙군입대 등으로 예금∙가상자산 탈취에 대처하기 어려운 틈을 이용했다. BTS 멤버 정국의 경우 84억원 상당 하이브 주식을 탈취당한 것으로 알려졌는데, 소속사가 피해 인지 후 지급 정지 등 조처를 해 실제 피해까진 이어지지 않았다.

 

경찰에 따르면 피해자 중 기업 회장·사장은 70명, 기업 임원은 5명, 법조인·공무원은 11명, 연예인 등 인플루언서는 12명, 체육인은 6명, 가상자산 투자자는 28명 등으로 집계됐다. 피해자 1명이 입은 가장 큰 피해액은 213억 원이다.

 

경찰은 국제공조를 통해 총책 검거에 성공했다. 지난해 5월 태국 경찰과 한국 인터폴 합동작전을 전개한 경찰은 방콕 소재 호텔에서 B씨를 검거했고, 함께 있던 A씨도 불법체류자로 구금했다. A씨는 체포 당시 공범 정도로 확인됐으나 경찰의 추가 수사 끝에 공동 총책임이 확인됐다. 경찰은 지난해 8월 B씨를 구속 송치했고, A씨도 오는 22일 구속 송치할 예정이다. 경찰은 수사팀 지급 정지 요청, 금융기관 이상 거래 탐지 등으로 피해금 중 약 213억원이 반환됐다고 설명했다.

 

경찰 관계자는 “비대면 인증 체계 자체를 무력화하는 방식으로 세계적으로 전례를 찾아보기 어려운 신종 범죄 수법”이라며 “재발 방지를 위해 통신사 등과 비정상 인증 차단 시스템을 구축했다. 공공·민간 사이트의 해킹 취약점도 통보해 추가 피해를 차단했다”고 설명했다.