토마스 피셔만 Thomas Fischermann <디 차이트> 경제부 부편집장

인터넷에서 신용정보 도용 범죄가 활개를 치고 있다. 독일연방경찰청의 통계치에 따르면 2009년 한 해에만 집계된 온라인뱅킹 데이터의 도용 및 악용, 제3자의 신용카드 계좌 도용, 휴대전화 및 전화 접속선 해킹 공격 등 ‘디지털 신원 도용’은 무려 6800여 건에 이른다. 전세계적으로 디지털 신원 도용은 수백만 건으로 집계된다.

사이버 범죄자 ‘패츠’가 전해준 정보
<디 차이트>에서는 신용카드 정보 도난 사건을 추적해보았다. 도난당한 신용카드 정보가 있다면, 이 정보를 팔아서 누군가는 분명히 돈을 벌었을 것이다. 믿을 수 있는 한 정보원이 구글에서 검색해보라고 알려주었다. 구글에서 자칭 ‘사이버 범죄자’ 패츠(이 기사에서 모든 명칭, 약칭 및 온라인 사이트는 별도의 명시가 없는 한 가명임)가 올린 글이 검색됐다. 패츠는 신용카드 정보를 팔아 큰돈을 벌었다고 했다. 실제 돈을 많이 벌었는지 확인할 길이 없지만, 그의 주장은 설득력 이 있었다.
패츠는 구글에서 특정 검색어를 입력하면 사이버 범죄자에 대해 좀더 자세한 내용을 찾을 수 있다고 알려주었다. 신용카드번호, 비밀번호, 신용카드 마그넷 스트라이프 정보, 정보 도용 희생자의 주소 및 패스워드를 거래하는 사이버 범죄자를 찾아내기 위한 검색어에는 ‘CVV2’ ‘CVV’ ‘fullz’ 및 ‘dumps’ 등이 있다. 중간에 0이 2개 들어간 ‘N00bies’는 <디 차이트> 기자들과 같은 지하세계의 초짜 범죄조직을 가리키는 말이다.
구글로 검색하면 해커 포털 사이트나 온라인 게임 사이트 등에서 신용카드 정보 제공과 관련한 광고문들을 손쉽게 발견할 수 있다. 심지어 세계 최대 대기업 쇼핑몰 중개 서비스를 하는 알리바바 닷컴에도 미국의 마스터카드와 비자카드를 3달러 특가에 판다는 파스칼린호(Pascalinho) 광고를 볼 수 있다. 킹 오브 디지(King of Deejey) 인터넷 쇼핑몰에는 비자카드가 2달러에 판매되고 있다. 하지만 사이버 정보 절도에 도움이 될 만한 어머니의 주민등록번호, 처녀 시절 이름과 기타 비밀정보까지 함께 구매하려면 비자카드 가격은 50달러로 껑충 뛴다.
불법으로 취득했을 가능성이 높은 정보가 왜 사이버공간에 모두 공개돼 있을까? 국제 보안솔루션 전문업체인 바라쿠다 네트워크(Barracuda Networks)의 비란트 알게 유럽 국장은 이렇게 추측했다. “이런 물품은 몰디브 웹사이트에서 제공하며, 운영업체도 몰디브에 있다. 몰디브에는 현지 인터넷 보안 태스크포스가 제대로 구축돼 있지 않기 때문일 것이다. 몰디브에서는 사이버 범죄보다 더 급한 사안이 산적해 있다.” 실제로 어떤 범죄 사이트들은 형사기관에서 사이버 범죄에 특별히 관심을 갖지 않는 몰디브·러시아·베트남·중국·카자흐스탄·아이티 등의 국가에 위치한 것처럼 웹사이트를 위장한다. <디 차이트>가 사이버공간에서 도난당하는 신용카드 정보의 경로를 추적하기 시작한 곳은 독일 함부르크의 알테엘프차우스제에 위치한 대형마트 네토(Netto)다. <디 차이트> 기자는 이 대형마트에서 선불카드 페이세이프(Paysafe)를 구입했다. 마트 직원은 인터넷에서 사용할 것인지 여부를 손님에게 확인하고는 25유로짜리 선불카드를 발급해주었다. 25유로가 충전된 16자리 숫자 코드로 된 페이세이프 카드로, 인터넷 도박 사이트와 전화 통화 사이트 및 포르노 사이트에서 결제할 수 있다. 하지만 사이버 범죄 조직단의 웹사이트에서는 결제할 수 없음을 금방 알게 되었다. 신용카드 정보 ‘장물아비’들은 페이세이프가 아닌 다른 결제 수단을 원했다. 베트남에 있는 업체라고 자신을 소개한 사이버 사기꾼에게 우리는 전자우편을 보내 독일 신용카드정보도 판매하는지 물었다. 몇 분이 지나서 온 답신 전자우편에는 “LR이 있느냐”는 질문이 있었다.

인터넷 결제 수단 ‘LR’를 발행하는 리버티 리저브 홈페이지.

우리는 다시 구글에 들어가서 재빨리 ‘LR’를 검색했다. 구글에 따르면, LR는 인터넷에서만 쓰이는 익명의 결제 방법을 가리키는 약칭이다. 코스타리카에 있고, 현지 법규에 따라 코스타리카의 금융감독원에 사업자등록번호 제3-101-446858호로 등록된 ‘리버티 리저브’(Liberty Reserve)라는 회사가 자기 이름을 딴 LR라는 결제 수단을 만들었다. 리버티 리저브는 고객의 신원까지 검토하지는 않았다.
<디 차이트> 기자라는 신원이 노출되기를 원치 않던 터라 우리는 스칸디나비아에 있는 서버 컴퓨터를 사용하는 우회적인 방법으로 영국 남부 작은 마을의 가상의 거리에 거주하는 ‘토륵스 스크류드라이버’라는 이름으로 LR 계정을 개설했다. 계정 개설까지 20분이 채걸리지 않았다. 송금은 대형마트에서 구입한 페이세이프 카드를 이용했다. 익명의 페이세이프 카드에서 코스타리카에서 철저히 익명으로 운영되는 계좌로 25유로를 송금하는 데 10분이 소요됐다. 25유로의 송금은 러시아에서 사이트를 개설했다고 자신을 소개한 인터넷 환전업자 ‘NoGo78’이 처리해주었다. ‘연락을 주셔서 감사하다’고 전자우편을 보낸 ‘NoGo78’는 환전 수수료로 8.2유로를 챙겼다. 인터넷에는 이런 환전업자들이 차고 넘친다. 하지만 이렇게 높은 수수료율을 본다면 너도나도 인터넷 환전업에 뛰어드는 것은 오히려 당연한 현상이라는 생각이 들었다.
그런데 슬며시 우리가 대체 지금 무엇을 하고 있는지 의문이 들었다. 도난당한 신용카드 정보를 추적하려고 시작한 일이 결국 언론사 비용으로 국제 사이버 범죄자들에게 25유로만 줘버린 격이지 않은가? 이 과정을 자세히 설명함으로써 독자가 인터넷 범죄를 모방하도록 멍석을 깔아준 것은 아닐까? 하지만 우리는 사이버 범죄의 사각지대를 조명해 베일에 싸인 사이버 신원 도용 범죄를 공론화한다는 애초 목적을 끝까지 달성해나가자고 다짐했다.

인터넷 결제 프로세스 전면 재검토 필요
‘ccforreal’ 혹은 ‘weber-deliver4’ 등의 아이디를 사용하는 사이버 범죄자에게는 금융업계가 줄줄이 도입하는 수많은 개인식별번호(PIN), 여타 보안번호 및 각종 신원 확인 절차가 지금까지 반가운 먹잇감에 불과했다. 새로운 보안장치를 도입할 때마다 사이버 범죄자는 신규 해킹 프로그램에 웃돈을 요구하며 쾌재를 불렀을 것이다. 어쩌면 기존 인터넷 결제 프로세스를 전면 재검토해야 할 것이다. 최근 소니사 개인정보 유출 사건처럼, 인터넷 결제 때마다 도용 위험이 도사리는데도 신용카드 정보를 일일이 입력하는 것은 구시대적 방식일 수 있다.
우리는 환전하고 페이세이프 카드 수수료를 내고 남은 약 24.75달러를 사이버 범죄자에게 미끼로 던져보기로 했다. 우리의 노력으로 해킹당한 신용카드를 경찰에 신고해 디지털 신원 도용 피해자를 도울 수 있을지 누가 알겠는가.
‘토륵스 스크류드라이버’라는 가명으로 우리는 해당 업체에 “대형은행에서 발급한 독일 신용카드로도 결제가 가능한가? 조금만 사서 일단 시험해보고 싶다”고 했다. 그러자 업체는 “대형은행에서 발급한 독일 신용카드로는 결제가 되지 않는다”고 했다. 하지만 사이공숍(Saigonshop)이라는 이름의 다른 업체는 “원하는 물건이 데이터 뱅크에 있으니 결제 가능하면 연락줘라”는 답신 전자우편을 보내왔다. 우리는 클릭 몇 번으로 LR 몇 달러를 송금했다. 그런데 송금을 완료한 뒤 사이공숍에서 더 이상 연락이 없었다. 대체 어떻게 된 것일까?
보안업체 소포스(Sophos)의 컴퓨터보안전문가 자샤 파이퍼는 “몇 번 시도하면 신용카드 몇 개를 받을 수 있다”고 말했다. 하지만 실제 신용카드를 발급받는 것은 쉽지 않았다. 안티바이러스 컴퓨터보안업체 시맨텍(Symantec)의 칸디드 뷔스트는 “누구나 접근 가능한 일반 포털사이트에서 해당 키워드를 찾으면 사이버사기꾼에게 걸릴 확률이 높다. 나는 관련 전문 사이트에서 검색하는 데 매주 몇 시간씩 할애한다”고 했다. 좋은 신용카드 정보를 입수할 확률은 포털 사이트마다 10~50%에 불과하다고 했다.
하지만 범죄가 빈번하게 벌어지는 도시의 빈민굴에 비견되는 사이버 범죄의 사각지대에 우리가 현재 활동하고 있다는 사실을 잊어서는 안 된다. 즉, 인터넷 범죄자들이 활개치는 웹사이트를 돌아다니고 있는 셈이다.

사이버 신용정보 시장의 비싼 수업료

경찰관들이 2009년 2월 해외 유명 사이버 도박 다국적기업인 M사의 한국 지사를 수색해 압수한 물품을 펼쳐놓고 있다.

우리가 지금까지 잃은 돈을 만회하기 위해 다시 돈을 쓰는 것은 인터넷 범죄 메커니즘을 이해하는 데 도움이 될 것 같지 않았다. 그래도 인터넷 웹사이트와 인터넷 보안업체들의 충고 덕에 디지털 신원 도용 범죄조직의 세계에 나름대로 깊숙이 파고들어갈 수 있었다. 그리고 관련 인터넷 범죄 웹사이트들을 알게 되었다. 디지털 절도 물품의 가격표가 나오는 웹사이트는 물론, 디지털 절도 물품의 경매소처럼 보이는 웹사이트, 내부자들의 정보 교류를 위한 채팅룸으로 보이는 웹사이트도 있었다.
이런 웹사이트에서는 업자와 고객이 서로 훤히 알고 있다. 여기서는 전문적 범죄인들이 그 누구보다 대접받는다. 오가는 액수도 차원이 다르다. 관련 인터넷 시장 사정에 훤한 사람들에게서 ‘전문 웹사이트’로 추천받은 한 업체의 웹사이트에는 ‘테스트 주문 500달러 이상’으로 가격이 명시되고, ‘테스트 주문으로도 절대 실망하는 일이 없을 것’이라고 돼 있었다. 일반 주문은 최소 1500달러였다. 이 웹사이트의 거래 약관에 따르면 코스타리카의 불편하기 짝이 없는 LR 화폐로 거래할 필요가 없다. 진정한 전문 웹사이트 중에는 인터넷 결제 서비스 페이팔(Paypal)이나 심지어 은행을 통해 송금받는 곳도 있다. 은행 송금이 가능한 웹사이트의 주요 이용자는 금융감독조차 두려워하지 않는 대담한 사이버 범죄자나 차명계좌를 사용하는 전문 조직범죄단이다. 토륵스 스크류드라이버라는 가명으로 우리는 물품을 테스트하기 위한 용도로 신용카드 한두 개에 대해 문의했다. 하지만 “최소 주문량이 명시된 가격표를 참고하라”는 말 외에 변변한 답변을 들을 수 없었다.
우리가 도난당한 신용정보 추적을 계속하려면 수백달러를 갖고 있든지, 아니면 지하세계에서 어느 정도 이름이 있어야 전문 판매업자들과 접촉할 수 있었다. 그래서 여기에서 추적을 마무리하기로 했다. 도난당한 신용정보의 거래시장은 전세계적으로 아직 제대로 형성돼 있지않고, 반면 초짜용 시장과 전문가용 시장이 따로 형성돼 있음을 알게 되었다. 하지만 그 어느 쪽도 감독기관인 국가를 전혀 두려워하지 않았다.
다른 금융 분야와 마찬가지로, 사이버 도난 신용정보 거래시장의 수업료는 비싸기 그지없었다.

ⓒ Die Zeit·번역 김태영 위원