여기어때. /그래픽=경찰청 제공
여기어때. /그래픽=경찰청 제공

숙박 O2O '여기어때' 전산망에 침입해 개인정보를 유출하고 수억원을 요구한 일당이 검거됐다.

경찰청은 1일 유출된 정보를 언론사에 알리겠다고 협박하며 '여기어때'에 6억원을 요구한 일당 5명 중 A씨(47) 등 4명을 정보통신망법위반·공갈미수 등 혐의로 구속했다고 밝혔다. 경찰은 해외로 도피한 공범 B씨를 추적 중이다.


A씨 일당은 지난 3월 6~17일 중국인 해커 E씨(26·구속)에게 의뢰해 '여기어때' 전산망에 침입, 이용자 99만명의 개인정보 341만건을 유출한 혐의를 받고 있다.

경찰에 따르면 A씨와 B씨는 IT 업종에 종사하며 알게 된 사이로 지난해 11월 '여기어때' 이용자들의 개인정보를 해킹해 돈을 요구하기로 공모했다.


A씨는 동향으로 친해진 알선책 C씨(34·구속)에게 '여기어때'를 해킹하면 1억원을 주겠다며 해킹할 사람을 구해 달라고 부탁했다. C씨는 지인인 D씨(31·구속)에게 이를 전달했다. D씨는 자신이 알고 지내던 E씨에게 1000만원을 주겠다며 해킹을 의뢰했다.

E씨는 지난 3월 '여기어때' 홈페이지를 해킹했다. 이용자들의 숙박 예약 정보는 물론 회원 정보와 제휴점 정보까지 빼돌렸다.


A씨와 B씨는 E씨로부터 넘겨받은 개인정보 파일을 확보하고 '여기어때'에 개인정보 유출 사실을 통보했다. 이어 총 6억원 상당 비트코인을 요구했지만 '여기어때'가 응하지 않아 미수에 그쳤다.

A씨와 B씨는 비트코인을 받지 못해 C씨에게 해킹 대가로 약속한 금액을 줄 수 없었다. C씨는 D씨로부터 해킹 대가금 지급 압박을 받자 D씨에게 3000만원, E씨에게 1000만원을 각각 송금했다.


경찰은 A씨 일당을 체포하면서 '여기어때'에서 유출된 개인정보 원본 파일을 모두 압수했다. 특히 E씨의 하드디스크 등에서는 이번 사건 개인정보 파일 외에도 다른 인터넷 홈페이지에서 유출한 개인정보 파일이 다수 발견됐다.

경찰 조사 결과 지난 3월7일까지 숙박 서비스를 이용한 사람들의 개인정보가 모두 유출된 것으로 나타났다. 다만 아직까지 '여기어때' 유출 개인정보가 제3자에게 제공된 흔적이나 정황은 발견되지 않았다. 하지만 B씨가 '여기어때' 개인정보 파일 사본을 보유하고 있는 사실이 확인됐다.

경찰은 B씨의 조속한 체포와 개인정보 파일 회수, 보이스피싱(전화금융사기) 등 2차 피해 차단을 위해 추가 수사를 벌일 예정이다.

경찰 관계자는 "관련 기관과 정보 공유로 유사 사례가 재발하지 않도록 하겠다"며 "개인정보를 보관하고 있는 업체에도 취약점 점검 등 개인정보 보호조치를 강화할 것을 권고했다"고 설명했다.