“속옷 다 보인다” 40만가구 엿본 해킹범…잡고보니 보안전문가

전국 638개 아파트단지 월패드 해킹
경찰, 사진 유출혐의 30대男 검거
식당 등 공유기 해킹해 수사망 피해
법원은 “판매의도 없어” 영장 기각

경찰청 국가수사본부 [자료=연합뉴스]

전국 40만 가구 이상의 가정집 월패드(주택 관리형 단말기)를 해킹해 사생활 영상과 사진을 빼돌려 판매하려 한 보안 전문가가 경찰에 붙잡혔다.

20일 경찰청 국가수사본부(사이버수사국)는 지난해 8월부터 같은 해 11월까지 전국 638개 아파트 단지의 월패드와 중앙관리 서버를 해킹해 영상과 사진 일부를 유출한 30대 남성 A씨를 정보통신망법 위반 혐의로 검거했다고 밝혔다. 지금까지 밝혀진 월패드 해킹 규모만 40만4847가구로, 경찰의 분석 작업에 따라 피해 규모가 더 늘어날 가능성이 있다.

월패드는 아파트 내 벽면에 부착돼 방범·방재·조명제어 등을 수행하는 태블릿형 기기다. 카메라가 설치돼 있어 해킹될 경우 각 가정의 사생활이 유출될 수 있다.

월패드 해킹 사건 개요도 [자료=경찰청]

A씨는 특정 업체의 월패드를 사용하는 아파트 단지를 타깃으로 정한 뒤, 월패드 중앙관리 서버와 각 가구별 월패드를 차례로 해킹하는 방식으로 영상을 몰래 촬영했다. 이 과정에서 수사기관의 추적을 피하기 위해 식당·숙박업소 등 다중이용시설의 무선공유기를 해킹해 범행장소를 둔갑하는 치밀함을 보이기도 했다. 또한 실명 인증이 필요 없는 해외 보안 이메일과 파일 공유 서비스를 사용해 신원을 감추려 시도했다.

경찰은 A씨를 지난 14일 체포영장을 발부받아 자택에서 체포했고, 15일 구속영장을 신청했지만 다음날 서울동부지법이 영장 청구를 기각했다.

법원은 A씨가 범행을 시인하고 있고 “판매 목적이 아닌 해킹에 대한 경각심을 일으키기 위한 차원에서 했다”고 해명한 점을 참작한 것으로 알려졌다. 다만 경찰은 A씨가 영상을 판매할 의사가 있었다고 보고 구속영장 재신청을 위해 보강수사를 진행 중이다.

이규봉 경찰청 국수본 사이버테러수사대장은 “(A씨가) 해외 인터넷 사이트에 샘플영상과 판매글을 올렸고, 구매접촉자와 나눈 이메일 내용으로 봤을 때 판매 의사가 있었다고 보고 있다”고 설명했다.

월패드 영상 중에는 개인의 성적 사생활과 관련된 영상도 있을 수 있는 만큼 경찰은 성범죄 관련 추가 입건 가능성도 열어두고 있다.

경찰은 추가 피해 방지를 위해 한국인터넷진흥원과 함께 월패드 및 중앙관리 서버의 악성 프로그램을 삭제하고 불법촬영된 영상도 삭제 조치했다. 증거확보에 필요한 영상과 사진 일부만 복구해 수사에 활용하는 것으로 전해졌다.

월패드 메인 화면 및 앱스 화면 예시. 사진은 사건과 직접 관련 없음. [자료=경찰청]

A씨는 범행 전 언론에 아파트 중앙관리서버와 거실에 설치된 월패드의 해킹 가능성에 대해 설명한 적이 있는 보안전문가다. 경찰 조사 결과 A씨는 자동화된 해킹 프로그램을 직접 제작하고, 추적 우회 수법과 보안 이메일 등을 자유롭게 사용하는 등 상당한 수준의 보안 지식을 가진 것으로 확인됐다.

A씨는 고등학생 때부터 보안업체에서 아르바이트를 하고 대학에서도 정보보호학을 전공하는 등 관련 분야에서 오랫동안 활동해왔다. 해킹 및 디도스 공격 등으로 2건의 전과가 있는 것으로도 알려졌다.

경찰은 수사 과정에서 △최신 디지털 기기 관련 제도적 미비점 △아파트 단지의 중앙관리 서버와 가구별 월패드 관리소홀 △다중이용 시설의 무선공유기 관리소홀 등에 취약점을 확인했고, 과학기술정보통신부·한국인터넷진흥원·개인정보보호위원회 등 유관기관에 관련 내용을 전달했다고 밝혔다.

경찰 관계자는 “월패드 제조업체와 중앙관리 서버업체는 보안 취약점을 주기적으로 점검하고 조치해야 한다”며 “월패드 및 무선공유기 이용자들은 비밀번호를 주기적으로 변경하고, 카메라 기능을 사용하지 않는 월패드는 렌즈를 가릴 것을 권한다”고 말했다.