지난해 11월 22일 한 해외 해커 조직이 한국 기업 ‘이랜드’의 전산 시스템을 해킹했다. 이들은 이랜드 계열사인 NC 백화점 등에 가입된 회원의 신용카드 번호와 유효 기간 등을 빼갔다. 그러고 나서 이랜드에 열흘 후까지 440억원어치에 달하는 비트코인을 요구했다. 이랜드가 이를 거부하자, 이 조직은 작년 12월 2일 ‘다크웹(특정 브라우저로만 접속 가능한 비밀 웹사이트)’에 38건의 신용카드 정보를 맛보기로 공개했다. 이를 시작으로 지난달 26일까지 모두 10차례에 걸쳐, 매번 10만건씩, 모두 100만여건을 올렸다.
특이한 것은 공개 시간이 주로 한국 시각으로 오후 7시부터 새벽 사이라는 점이다. 이 조직은 지난달 14일 오후 7시 39분에 10만건을 공개했고, 지난달 24일은 자정 무렵에, 작년 12월 29일엔 새벽 4시 22분에 각각 10만건을 다크웹에 노출했다.
왜 그럴까? 임형욱 금융보안원 침해대응부장은 “한국 기업과 해킹에 대응하는 금융보안원 직원들의 퇴근 시간을 고려한 것”이라고 했다. 한국 직원들이 퇴근하면 제대로 손을 쓰지 못할 것이라고 판단했다는 얘기다. 임 부장은 “해커들이 카드 정보를 공개하면, 금융보안원과 각 금융사가 서둘러 파악해 고객에게 사실을 알리고, 카드를 정지시켜야 한다”며 “직원들이 퇴근한 상황이면 해킹에 대응하는 각종 전문 장비를 제대로 쓸 수 없어 대응이 여의치 않다는 점을 노린 것”이라고 말했다. 금융보안원은 해커들의 활동 시간대와 수법을 볼 때, 러시아에 기반을 둔 조직으로 추정하고 있다. 이랜드 관계자는 “해커들이 노출시켰다는 카드정보는 기존에 공개돼 돌아다니는 것들이 상당히 포함돼 있는 것으로 안다”며 “해커집단의 일방적인 주장에 휘둘리지 않고, 수사기관과 협조하면서 원칙대로 대응하고 있다”고 말했다.
해외 해커 조직은 갈수록 다양한 수법을 동원해 한국 기업들을 괴롭히고 있다. 특히 한국의 정치·경제 상황을 자세히 모니터링하고, 이를 악용한다. 코로나 사태가 터진 지난해, ‘전 국민 코로나19 위기 극복을 위한 긴급재난지원금 조회 및 안내’ 등을 클릭하도록 유도하는 문자메시지가 여기저기에 퍼졌다. 이를 클릭할 경우 악성코드가 컴퓨터나 스마트폰에 침투, 전화번호나 사진 등 각종 정보를 빼갈 수 있게 된다. 이랜드를 협박하는 해커 조직도 이 같은 수법을 썼을 가능성이 크다.
지난해 8월부터는 ‘디도스 공격(DDoS)’을 통한 금융기관 해킹이 증가하고 있다. 비정상적으로 많은 트래픽을 일으켜 은행이나 증권사 온라인 망을 마비시킨 뒤, 해당 업체에 이메일을 보내 돈을 요구하는 방식이다. 금융보안원에 따르면 작년 8월부터 이달 중순까지 국내 금융기관에만 19건의 디도스 공격이 있었다. 다만 이들이 요구하는 금액은 그리 크지 않다. 이달 초에도 한 시중은행에 디도스 공격이 있었는데, 공격 직후 해커 조직은 이 은행에 이메일을 보내 2억~3억원어치의 비트코인을 요구했다고 한다. 금융 업계 관계자는 “해커들이 ‘2억~3억원은 한국에 있는 은행에 그리 큰 부담이 안 되기 때문에 쉽게 들어주지 않을까'라고 판단하는 것 같다”고 말했다.