“혹시 내 카드번호도…”

포에버 21 등 대형업체 포함
고객피해 파악 상당기간 소요

수년간에 걸쳐 미국내 대형 소매체인의 전산망에 침입해 4,100만개에 달하는 크레딧과 데빗 카드 정보를 빼내 이를 판매해온 다국적 신분도용 범죄의 전모가 드러나면서 일반 소비자들은 물론 소매업체들의 신용정보 보안에 비상등이 켜졌다.<본보 6일자 A11면 보도>
5일 연방법무부의 기소장이 공개되면서 밝혀진 이번 해킹 및 개인정보 도난 사례는 미국에서 현재까지 발생한 범죄중 역대 최대 규모다.
3년간의 수사 끝에 미국은 물론 에스토니아, 우크라이나, 벨라루스, 중국 등 다국적 용의자 11명이 9개 유명 소매체인 네트웍을 해킹해 개인정보를 빼내 이를 판매한 것으로 드러났으며, 범죄의 복잡성 때문에 피해 규모도 수천만달러 이상일 것으로만 단순히 추정되고 있다.
용의자 중 3명만 현재 체포된 상태다. 이들은 훔친 정보를 우크라이나와 라투비아의 서버에 저장하는 등 국제적인 공조(?)를 과시, 범죄조직망 자체가 미니 유엔으로 비유될 정도다.
피해 업체는 한인 대형의류소매체인 포에버 21을 비롯해 TJ맥스와 마셜스의 모회사인 TJX, BJ’s 홀세일클럽, 오피스맥스, 보스턴마켓, 반스&노블, 스포츠오서러티, DSW 등이다.
TJX는 이미 2005년 7월부터 정보 유출 사실을 발견, 2007년 1월 이를 공식적으로 발표한 이후 은행들과 카드회사로부터 소송을 당해 거액에 합의하는 등 홍역을 치루고 있다.
이들은 랩탑으로 보안에 취약한 무선 네트웍을 찾아 들어가는 ‘워드라이빙’(wardriving)이라는 기술을 이용, 소매체인의 프로세싱 네트웍에 들어가 카드 정보를 빼내는 스니퍼 프로그램(sniffer program)을 설치해 정보를 빼낸 후 이를 자체 인터넷 보안 터널을 확보해 동유럽 서버로 전송해 왔다.
이중 주모자로 알려진 앨버트 세그벡 곤잘레스는 자신이 인터넷 신분도용 범죄 수사를 돕는 미경호국(USSS) 소속 정보원으로 수사정보를 역이용하면서 범죄를 저질러 온 것으로 밝혀졌다.
이번 범죄의 피해자는 대부분 미국내 거주자지만, 실제로 정보가 노출된 소비자들과 연락해 피해여부를 파악하는데는 상당한 시일이 걸릴 것으로 전망된다.
특히 이번 경우는 개인 소비자의 실수가 아닌 기업체들의 전산망 보안이 지능화되고 있는 사이버 범죄에 여전히 취약하다는 점을 증명했다는 점에서 각 기업체들의 전산망 보안강화 요청이 잇따를 것으로 보인다.

<배형직 기자>