전산망 해킹 시도 40대 압수물 뜯어보니…외장하드 61GB '개인정보' 수두룩

하나은행 전산망 악성코드 심으려
작년 해킹 시도했다가 구속
경찰 발견 외장하드 2개에
카드번호·비밀번호·주민번호 등 담겨

경찰-금감원 협조 문제도
경찰청장 "회복 위한 빠른 협업 당부"

[아시아경제 이관주 기자] 지난해 한 시중은행 전산망 해킹을 시도했다가 구속된 피의자의 압수물에서 신용ㆍ체크카드 정보 등이 담긴 외장하드 두 개가 발견돼 경찰이 수사를 벌이고 있다. 총 1.5테라바이트(TB)에 달하는 두 개의 외장하드에는 61GB 용량의 신용카드 정보가 담긴 것으로 확인됐다. 경찰은 이번 사건이 지난해 발생한 15개 금융회사 개인정보 57만건 유출 사건과 비슷한 규모인 것으로 보고 있다.

15일 경찰에 따르면 서울지방경찰청 보안수사대는 지난해 6월 하나은행 전산망을 해킹하기 위해 악성코드를 심으려 한 이모(42)씨의 여죄를 수사하는 과정에서 외장하드 4개를 입수했다. 이 중 1.5TB 규모의 외장하드 두 개에서 61GB 용량의 신용카드 정보가 발견됐다. 일부 신용카드 정보에는 카드번호는 물론 주민등록번호, 신용카드 비밀번호 등이 포함됐다. 신용카드 사용자의 이름은 발견되지 않았다고 경찰은 전했다. 이씨는 앞서 2014년 카드 가맹점의 포스(POS) 단말기를 해킹해 신용카드 정보를 무더기로 빼냈다가 처벌을 받은 전과가 있는 것으로 확인됐다. 이에 따라 이번에 외장하드에서 발견된 개인정보도 이씨가 해킹을 통해 확보한 것으로 추정된다.

통상 해킹을 통해 유출된 개인정보는 'DB' 형식으로 저장된다. 특정 사이트 이용자의 아이디ㆍ닉네임ㆍ거래 은행 및 계좌번호ㆍ이름ㆍ전화번호 등 개인정보를 엑셀 시트(sheet)에 정리한 것이다. 이렇게 정리된 개인정보는 1명당 차지하는 용량이 크지 않다. 실제 다크웹ㆍ딥웹ㆍ소셜네트워크서비스(SNS) 등을 통해 불법으로 거래되는 개인정보의 경우 DB 파일 하나당 1MB 정도에 그친다. 단순하게 따지면 1.5TB 용량에는 DB 파일 150만개가 들어갈 수 있는데, DB 파일 한 개당 1만여명의 개인정보가 담기는 것을 고려하면 61만개의 개인정보가 들어 있는 셈이다. 경찰 관계자는 "개인정보 유출 규모에 대해서는 확인 중"이라면서 "지난해 57만건 유출 사건에 준하는 수준으로 보고 있다"고 말했다.

이씨가 이 같은 개인정보를 어디에 활용하려고 했는지에 대해서도 경찰 조사가 진행 중이다. 개인정보 자체를 가지고 금융 범죄를 저지르기에는 한계가 있기에 이를 재판매하려고 했다는 추측에 무게가 실린다. 다크웹 등지에서 개인정보는 개당 20~25원에 판매된다.

한편 경찰이 확보한 개인정보 자료 분석에는 시간이 소요되는 형국이다. 자료 분석에 필요한 경찰과 금융감독원의 협조가 원활히 이뤄지지 않아서다. 경찰 관계자는 "금감원에 데이터 분석을 의뢰했으나 협조가 잘 되지 않고 있다"고 밝혔다. 반면 금감원은 "개인정보가 다량 들어 있는 자료를 금감원이 조사나 분석할 근거가 규정상 없다"며 "권한 밖의 것을 해달라고 한 것이라 협조하기 어려웠다"고 반박했다.

이에 대해 민갑룡 경찰청장은 이날 기자간담회에서 "주범은 구속하는 등 수사는 종결된 사안이나 회복을 위한 조치로 개인정보 유출 관련 부분을 당사자에게 안내해야 하는데, 그것을 위한 분류작업 과정에서 금융정보이다 보니 금감원의 협조가 필요한 사안이 있다"며 "협의하는 과정에서 자료가 방대해서 서로 얘기가 엇갈리는 부분이 있는데, 지방청·경찰청에서 서로 머리를 맞대고 빨리 협업해 해결해야 한다"고 강조했다. 이어 "이 문제를 해결하기 위한 협업체계를 가동하라고 당부했다"고 덧붙였다.

이관주 기자 leekj5@asiae.co.kr