러시아 20대 청년들…전세계 개인정보 12억건 털어

알바 뛰던 20대 청년들…
유명 대기업 누리집 등 해킹
이름·비밀번호·전자우편 빼내

12억건의 사용자 이름과 비밀번호 조합, 5억개의 이메일 주소 등을 몰래 빼내 이용한 사상 최악의 온라인 개인정보 도난 사건이 발생했다.

2011년 러시아 남부의 한 소도시. 서로 잘 아는 20대 청년 10여명이 암시장에서 도난당한 개인정보 데이터를 구입해 이메일을 대량 발송하는 스패머 활동을 시작했다. 아르바이트 수준의 활동을 하던 이들은 지난 4월 들어 갑자기 전문화하기 시작했다. 다른 집단과 협력관계를 맺고는 해킹 기술과 도구를 공유했다. 이때부터 이들은 프로그래밍과 데이터 절취를 분업화하는 전문적인 해킹 회사로 거듭났다.

이들은 보트넷, 즉 컴퓨터 바이러스에 감염된 좀비 컴퓨터 네트워크를 이용해 대량으로 개인정보 등을 획득했다. 감염된 컴퓨터가 웹사이트를 방문할 때마다 이들은 이 사이트가 해킹 기술에 취약한지를 시험했다. 해당 사이트가 취약한 것으로 입증되면 이후 다시 방문해 그 사이트 내의 데이터베이스를 추출해갔다. 이런 식으로 이들은 지난 7월까지 사용자 이름과 비밀번호 조합 45억개를 수집했다. 수집된 기록 중 중복된 것을 제외하면 약 12억개가 유효했다. 5억4200만개 이메일 주소도 확보했다. 약 42만곳의 웹사이트에서 확보한 개인정보다.

희생양이 된 웹사이트는 포천500 소속 대기업부터 개인 웹사이트까지 다양하다. 이들은 절취한 개인정보들을 이용해 트위터 등 소셜네트워크를 통해 스팸메일을 발송해주고 대가를 받았다. 이들의 행각은 미국 밀워키의 컴퓨터 보안회사 홀드시큐리티에 의해 적발돼, 이번주 라스베이거스에서 열린 보안회의인 블랙햇 회의에서 공개됐다.

이를 보도한 <뉴욕 타임스>는 이 사건이 도둑들의 손으로부터 개인정보를 지키려는 보안 노력이 점점 패배하고 있는 현실을 드러낸다고 우려했다.

정의길 선임기자 Egil@hani.co.kr