유심 복제와 부정개통을 이용해 가상자산과 금융자산을 빼돌린 해외 기반 해킹범죄조직이 경찰에 적발됐다. 피해자는 271명, 전체 피해 규모는 734억 원에 달했다. 경찰은 태국에 숨어 있던 중국 국적 총책 2명을 국내로 송환해 구속하고, 조직원 32명을 검거했다.
서울경찰청 사이버수사과는 유심 복제와 유심 부정개통 등 고도화된 해킹 수법으로 피해자들의 가상자산과 금융자산을 탈취한 혐의로 중국 국적 총책 A씨와 B씨 등 해킹범죄 조직원 32명을 검거했다고 밝혔다. 이 가운데 10명은 구속됐고 22명은 불구속 상태로 수사를 받았다. 경찰은 해외 조직원 9명에 대해서도 인터폴 적색수배 조치를 했다.
경찰에 따르면 이들은 2022년 5월부터 2023년 6월까지 이동통신사업자를 이용하는 피해자 13명의 유심 고유 비밀정보를 빈 유심에 복제해 이른바 "쌍둥이 유심"을 만든 혐의를 받는다. 복제 유심을 이용해 기기변경을 한 뒤 휴대전화 문자 인증번호와 금융 OTP를 가로채 피해자 4명의 가상자산 거래소 계정에 침입했고, 약 89억 원 상당의 가상자산을 탈취한 것으로 조사됐다.
범행 수법은 이후 더 고도화됐다. 총책 A씨와 B씨 등은 2023년 7월부터 올해 4월까지 알뜰폰 사업자 12곳의 비대면 개통사이트를 해킹해 피해자 92명 명의의 유심 122개를 무단 개통한 것으로 파악됐다. 또 공공·민간 사이트 10곳을 해킹해 피해자들의 개인·금융정보를 조회하고, 아이핀과 공동인증서 등을 무단 발급받아 인증수단을 확보했다.
이들은 확보한 인증수단을 이용해 피해자 24명의 금융기관과 가상자산 거래소 계정에 침입했다. 경찰은 이들이 약 395억 원 상당의 금융자산을 탈취했고, 추가로 약 250억 원 상당을 빼내려다 미수에 그친 것으로 보고 있다.
유심 복제 수법은 피해자 유심의 고유 비밀정보를 빈 유심에 입력해 기존 유심과 동일한 기능을 하는 유심을 만드는 방식이다. 피의자들이 복제 유심을 자신의 단말기에 넣고 기기변경 인증을 마치면 피해자 휴대전화는 통신이 끊기고, 피해자 명의로 들어오는 문자 인증번호와 금융 OTP가 피의자 쪽으로 넘어간다.
유심 부정개통은 알뜰폰 비대면 개통사이트의 취약점을 악용했다. 피의자들은 제3자의 전자서명을 피해자의 전자서명처럼 위조해 본인확인 절차를 통과했고, 피해자 명의로 휴대전화를 새로 개통하거나 번호를 자신들이 가진 유심으로 옮기는 방식으로 인증문자를 가로챘다. 경찰은 유심 복제와 부정개통이 본인확인 체계와 정보통신 기반을 동시에 흔든 신종 범죄라고 설명했다.
범행 대상도 점차 정교해졌다. 초기에는 유심 복제를 통해 가상자산을 탈취했지만, 경찰과 통신사의 협업으로 비정상 인증 차단 시스템이 구축되자 유심 부정개통 방식으로 수법을 바꿨다. 이후에는 인증수단 탈취에 즉각 대응하기 어려운 수감자나 해외 체류 중인 재력가를 골라 범행하는 방식으로 진화했다.
조직은 총책, 관리책, 행동책, 세탁책으로 나뉜 분업 구조였다. 총책은 유심정보 확보, 계정 침입, 사이트 해킹, 신분증 위조, 자금세탁 등 핵심 범행을 총괄했다. 관리책은 행동책을 모집하고 총책과 연결하는 역할을 맡았다. 행동책은 유심 복제와 휴대전화 개통, 인증문자 수신을 담당했고, 세탁책은 탈취한 가상자산을 옮기거나 통정매매 등을 통해 범죄수익을 세탁한 것으로 조사됐다.
경찰 수사는 2022년 6월 유심 복제 피해 신고와 2023년 9월 유심 부정개통 피해 신고를 계기로 시작됐다. 경찰은 2022년 8월부터 올해 4월까지 국내 관리책과 행동책, 세탁책 등 30명을 순차적으로 검거했다. 이후 첨단 사이버 추적기법으로 총책 B씨를 특정하고 국제공조수사를 진행했다.
경찰은 지난해 5월 태국 입국 첩보를 확보한 뒤 태국 경찰, 한국 인터폴과 합동작전을 벌여 방콕 은신처에서 B씨를 검거했다. 현장에 함께 있던 A씨는 처음에는 불법체류자로 구금됐지만, 압수물 포렌식 분석과 기존 사건 빅데이터 교차 분석 과정에서 공동 총책이자 과거 유심 복제 조직의 총책으로 드러났다. 경찰은 긴급인도구속 절차를 통해 석방이 임박했던 A씨의 신병도 확보했다.
B씨는 지난해 8월 국내로 송환돼 구속 송치됐고 현재 1심 재판을 받고 있다. A씨도 지난 13일 국내로 송환된 뒤 15일 구속됐다. 경찰은 A씨를 18개 죄목으로 송치하고, B씨에게도 기존 유심 부정개통 총책 혐의에 더해 유심 복제 총책 혐의를 추가 적용할 예정이다.
경찰은 3년 11개월 동안 수사관 55명을 투입해 압수수색검증영장 531부를 집행했고, 해외 출장 7차례를 포함한 공조수사를 통해 조직 대부분을 검거했다고 밝혔다. 피해금 가운데 128억 원은 수사팀의 지급정지로, 85억 원은 피해자 요청과 금융기관 이상거래 탐지로 반환돼 모두 213억 원 상당이 회복됐다.
재발 방지를 위한 제도 개선도 병행됐다. 경찰은 통신사와 협업해 비정상 인증 차단 시스템 구축을 유도했고, 공공·민간 사이트 22곳의 해킹 원인과 보안 취약점 24건을 개선했다. 과학기술정보통신부 등 관계기관과 41차례 회의를 거쳐 범정부 대책 수립과 알뜰폰 사업자 보안 강화 법령 개정에도 참여했다.
경찰은 이번 수법을 인터폴의 보라색 수배서를 통해 전 세계 수사기관에 공유했다. 보라색 수배서는 신종 범죄 수법과 범행 도구, 예방 정보를 회원국에 전파하는 국제공조 채널이다.
이번 사건은 유심 복제와 비대면 개통 취약점을 동시에 악용해 금융 인증 체계를 무너뜨린 범죄라는 점에서 파장이 크다. 경찰 수사는 총책 송치 이후에도 해외 공범과 연계 조직 확인, 범죄수익 추적과 환수로 이어진다. 휴대전화 인증이 금융거래의 핵심 수단으로 쓰이는 만큼, 통신사와 금융기관의 본인확인 절차 보완도 수사 이후 남은 과제다.
