81만명 개인정보 훔친 대학생 해커 구속

공공기관 등 15개 정보망 침입
학생·교직원 연락처·주소 등 열람
재학 중 학교 시험문제도 빼돌려
2차 유포·피해 아직 확인 안돼

자신이 다니던 대학과 공공기관 등의 정보통신망에 침입해 수십만 명의 개인정보를 빼돌린 20대가 구속됐다.

대구경찰청 사이버수사과(사이버범죄수사대)는 정보통신망법 위반 등 혐의로 대학생 A씨를 구속하고 또 다른 대학생 B씨를 불구속 입건했다고 27일 밝혔다.

이들은 2021년 8월부터 지난해 11월까지 경북대를 비롯한 국내 대학교 5곳과 공공기관 등 모두 15곳의 정보망에 침입해 81만여 명의 개인정보 217만여 건을 빼돌린 혐의를 받는다.

경북대 재학 중인 A씨는 지난해 2학기 중간고사 문제를 빼내 시험에 응시한 혐의도 받고 있다. 다만 시험 직전에 문제를 확인해 성적에 큰 영향은 없었던 것으로 알려졌다. B씨는 주로 학생과 교직원의 개인정보를 열람한 혐의로 불구속했다.

경찰에 따르면 이들은 기관들이 운영하는 정보통신망의 취약점을 노리고 범행을 저질렀다. 경찰이 확인한 결과 이들이 이용한 범행 수법만 파라미터값 변조 등 6가지에 이른다. 특히 파일 업로드 제어나 관리자 계정의 취약한 점을 노리고 해킹을 시도한 것으로 드러나 주의가 요구된다.

이들이 빼돌린 개인정보는 재학생 뿐만아니라 졸업생들의 이름과 전화번호, 주소, 부모의 연락처 등이 포함된 것으로 전해졌다.

경찰은 현재까지 유출된 개인정보가 재유포된 정황은 없는 것으로 파악하고 있다.

정보보안동아리에서 활동하던 이들은 주로 각자 개인장비를 사용해 범죄를 저지른 것으로 조사됐다.

법원은 A씨에 대해 증거 인멸과 도주의 우려가 있다고 판단해 구속영장을 발부했다.

김장수 사이버범죄수사대장은 “이들은 시도한 수법들이 성공하자 비슷한 시스템에 침입을 이어간 경우”라며 “시스템의 로그자료 분석을 통해 전체 피해규모와 침입 수법, 탈취 경로 등을 모두 확인했다. 2차 피해는 확인되지 않았으나 수사를 통해 추가 피해 사실 여부를 조사할 예정이다”고 말했다.

이어 “직접적인 피해가 없기 때문에 피의자들이 이같은 행위를 범죄로 인식하지 않았던 측면이 있다. 사이버 범죄행위에 대한 교육이 강화될 필요가 있으며 피해기관에 대해서는 보안 취약점이나 개선할 부분을 건의했다”고 덧붙였다.

이지연기자 ljy@idaegu.co.kr

이지연 다른기사 보기