국내 1위 이동통신사인 SK텔레콤의 서버가 해킹당해 사이버 흥신소의 뒷조사에 악용돼 온 사실이 드러났다. 경찰은 국내 이동통신 가입자의 절반이 넘는 약 2800만명의 ‘실시간 위치’ 정보가 노출됐을 가능성을 배제하지 않고 수사 확대에 나섰다. 

구속된 총책 홍모씨와 흥신소 업자가 개인정보 판매 가격을 주고받은 문자메시지 내용. 서울경찰청 제공

서울경찰청 사이버안전과는 4일 SKT 이동통신 가입자의 위치정보 등을 사이버 흥신소에 판매한 혐의(정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 등)로 총책 홍모(40)씨와 해커 김모(27)씨, 흥신소 업자 임모(40)씨를 구속하고 택배 협력업체 기사인 윤모(43)씨 등 5명을 불구속 입건했다고 밝혔다. 이들에게 특정인의 위치 추적과 미행 등 뒷조사를 의뢰한 34명도 입건했다. 경찰에 따르면 홍씨는 2014년 9월부터 지난 5월까지 김씨와 윤씨를 통해 받은 개인정보 647건을 흥신소 2곳에 판매해 2억7477만원 상당을 챙긴 혐의를 받고 있다. 김씨는 피처폰(일반 휴대전화)의 보안 취약점을 파고들어 SKT 위치정보 서버 주소(URL)를 확보한 뒤 패킷(데이터 전송 단위) 분석·송수신 프로그램을 이용, SKT 가입자 42명의 실시간 위치 정보 85건을 건당 30만원을 받고 홍씨에게 넘긴 혐의를 받고 있다. SKT의 위치정보 서버는 다른 이통사와 달리 위치정보를 암호화하지 않고 전송한 것으로 조사됐다. 이에 따라 SKT의 허술한 보안 관리가 도마에 오를 전망이다.

경찰 관계자는 “SKT 전체 가입자의 위치정보가 노출됐을 가능성을 배제할 수 없다”고 지적했다. 아직 김씨가 해킹한 위치정보를 다른 범행에 이용한 사실은 확인되지 않았지만, 김씨가 범행을 최소한으로만 인정하고 있어 추가 피해의 가능성도 있다. KT와 LG유플러스는 특정 IP(인터넷 프로토콜)에서만 위치정보를 조회할 수 있도록 제한했고, 조회 시도 사실을 가입자에게 통보하는 시스템을 운용 중이다.

SKT는 지난달 초 경찰의 연락을 받고서야 이런 사실을 알게 됐다고 한다. 경찰은 SKT에 대해서도 수사 중이며, 법 위반이 확인되면 책임자를 처벌할 방침이다. SKT 측은 “경찰 수사 이후 특정 IP에서만 위치정보를 조회할 수 있도록 하는 등 보안조치를 취했다”고 밝혔다.

임씨 등 흥신소업자들은 의뢰 대상자의 차량 등에 위치추적기를 달아 13만8602차례에 걸쳐 실시간 위치정보를 수집하고, 미행한 대가로 7억5000만원을 챙긴 혐의를 받고 있다. 입건된 의뢰인 34명 중 83%는 외도가 의심되는 배우자의 뒷조사를 의뢰했으며, 채권·채무자나 헤어진 여자친구, 딸 남자친구와 사위의 위치를 파악해 달라는 의뢰도 있었다.

경찰 관계자는 “업계의 첩보를 입수해 수사를 확대할 계획”이라고 말했다.

박진영 기자 jyp@segye.com