이 조직은 전 세계적으로 전례를 찾기 힘든 고도화된 ‘유심(USIM) 복제’ 및 부정개통 신종 해킹 수법으로 수백억원대의 자산을 탈취한 혐의를 받고 있다.
유심 관련 자료사진.(사진=게티이미지)
이번 사건의 피해자는 총 271명에 달하며, 확인된 피해 액수만 총 734억원(기수 484억원, 미수 250억원)에 이른다.
경찰이 파악한 피해 유형별 분류에 따르면, 개인정보와 금융정보가 해킹된 피해자 271명 가운데 기업 회장·대표·사장·임원급 인사가 75명으로 가장 많았았다. 이 중 22명은 국내 100대 그룹 소속 인사로 확인됐다. 이어 가상자산 투자자 28명, 연예인·인플루언서 12명, 정치인·법조인·공무원 11명, 자영업자 8명, 체육인 6명 순이었고, 나머지 131명은 기타 직군이었다.
이들이 보유한 계좌 잔액의 총합은 무려 55조 2200억 원에 달하는 것으로 드러났다. 피해자 중 자산 규모가 가장 큰 1명은 개인 잔액만 최대 12조 원을 보유하고 있던 것으로 확인됐다.
전체 해킹 피해자 중 실제 금전적 피해를 입은 피해자는 총 21명이다. 100대 그룹 소속 인사 3명을 포함한 기업 임원급 인사가 10명으로 가장 많았고, 연예인·인플루언서 3명, 가상자산 투자자 3명 등이 포함됐다. 자금을 빼돌리려다 실패한 미수 사례도 7건(기업 임원급 4명, 가상자산 투자자 2명 등)이 있었다.
범행 수법은 크게 ‘유심(USIM) 복제’와 ‘유심 부정개통’ 두 가지로 나타났다.
먼저 이들은 2022년 5월부터 2023년 6월까지 피해자 13명의 유심 고유 비밀정보를 공(空) 유심에 복제해 이른바 ‘쌍둥이 유심’을 제작했다. 이 유심을 피의자 단말기에 삽입해 기기변경을 인증하는 순간 피해자의 휴대전화는 통신이 끊겼다. 조직원들은 이 틈을 타 피해자 명의로 수신되는 SMS 인증문자와 금융 OTP 등을 가로챘고, 피해자 4명의 가상자산 거래소 계정에 침입해 약 89억 원 상당의 가상자산을 탈취했다.
이후 수사팀과 통신사의 협업으로 비정상 인증 차단 시스템이 구축되자, 이들은 ‘유심 부정개통’으로 수법을 빠르게 전환했다.
이들은 2023년 7월부터 2025년 4월까지 알뜰폰 사업자 12곳의 비대면 개통사이트를 해킹하여 본인확인 절차를 우회하는 취약점을 악용했다. 제3자의 전자서명을 위조하는 방식으로 피해자 92명 명의의 유심 122개를 무단 개통해 번호를 가로챈 것이다.
동시에 공공·민간 사이트 10곳을 해킹하여 피해자들의 개인·금융정보를 조회하고 공동인증서 등을 무단 발급받았다. 이렇게 확보한 인증수단으로 금융기관과 가상자산 거래소 계정에 침입해 약 395억 원을 탈취했고, 250억 원을 추가로 빼돌리려다 미수에 그쳤다. 이들은 인증수단 탈취에 즉각 대응하기 어려운 수감자나 해외 체류 중인 재력가만을 표적으로 삼아 범행을 벌였다.
이들의 덜미가 잡힌 건 경찰의 끈질긴 국제공조 덕분이었다. 경찰은 태국 경찰 및 인터폴과의 합동작전을 통해 방콕 은신처에서 총책 B 씨를 검거하고 함께 있던 A 씨를 구속했다. 이 과정에서 압수물 포렌식과 빅데이터 분석을 통해 이들이 과거 유심 복제 사건의 공동 총책이라는 전모까지 밝혀냈다.
나아가 경찰의 신속한 자금 동결 조치 등으로 피해 금액 중 약 213억 원은 피해자들에게 반환됐다. 경찰은 보안 취약점을 개선하도록 조치하는 한편, 알뜰폰 사업자의 보안 강화를 위한 법령 개정을 이끌어냈다. 또한 인터폴에 ‘보라색 수배서’를 발송해 이번 신종 범죄 수법을 전 세계에 공유했으며, 해외 연계 조직에 대한 수사를 계속 이어갈 방침이다.
