알라딘 전자책 100만권 유포 협박해 돈 뜯은 고교생 구속

다른 인터넷서점, 메가스터디·시대인재도 해킹

게티이미지뱅크

‘비트코인 100개(당시 시세 기준 36억원)를 보내지 않으면 전자책 100만권을 유포하겠다.’

지난 5월 ㄱ(16)군이 인터넷서점 알라딘을 상대로 무단취득한 전자책 5000권을 한 메신저 공개대화방을 이용해 유포하며 한 협박 내용이다. 고등학교 2학년생인 ㄱ군은 평소 스스로 익힌 해킹 기술로 전자책의 무단 사용을 제한하는 디알엠(DRM, Digital Rights Management)을 풀 수 있는 ‘복호화 키’를 무단 취득해 해당 업체의 전자책을 유포했다. ㄱ군은 추적이 어려운 인터넷 메신저를 이용하고, 가상사설망(VPN)을 이용해 아이피(IP) 주소를 세탁하는 등 치밀하게 준비 끝에 협박에 나섰다.

100만권의 전자책이 무료로 온라인에 공개될 상황에 놓인 알라딘은 결국 저작물 유포와 ㄱ군을 붙잡을 시간을 벌기 위해 협상에 나섰다. 최초 비트코인 8개를 3번에 걸쳐 지급하기로 했지만, 거래소 모니터링 시스템에 막혀 비트코인 0.3개만 전송되자 ㄱ군은 현금을 요구했다. ㄱ군은 업체가 서울 한 지하철역 물품보관소에 맡긴 7520만원을 메신저를 통해 만난 ㄴ(29)씨에게 환전을 부탁하고, ㄴ씨는 ㄷ(25)씨에게 이를 수거하라고 지시해 서로 나눠 가졌다. 이렇게 이들이 협박으로 갈취한 돈은 모두 약 8600만원에 이른다.

21일 경찰청 사이버수사국은 유명 인터넷서점과 입시학원 등을 해킹해 전자책·강의동영상 등을 무단취득하고 이를 유포하겠다고 업체들을 협박한 ㄱ군을 특정경제범죄 가중처벌 등에 관한 법률(컴퓨터 등 사용 사기) 위반 및 공갈 등 혐의로 지난 19일 구속했다고 밝혔다. ㄱ군은 지난해 11월부터 모두 4개 업체의 전자책과 강의동영상 203억원(판매단가 기준)어치를 무단취득하고, 이를 가지고 해당 업체를 상대로 금품을 갈취·요구한 혐의를 받는다. 경찰은 ㄱ군의 범행을 도와 자금을 세탁한 ㄴ씨와 현금수거책 ㄷ씨도 각각 지난 8월과 7월 구속해 검찰에 넘겼다고 밝혔다.

ㄱ씨가 메신저 단체 대화방에서 전자책을 유출하고, 업체에 비트코인을 요구하고 있다. 경찰청 제공

ㄱ군은 피해 업체들의 보안상 허점을 노려 범행을 저질렀다. 업체들은 책이나 영상을 구매한 사람들만 볼 수 있도록 디알엠을 걸고, 이를 해제하는 ‘복호화 키’를 서버에 저장하는데, ㄱ군은 이를 해킹해 ‘복호화 키’를 빼냈다. 이러한 방식으로 ㄱ군은 지난해 11월 또 다른 인터넷 서점에서 143만여권의 ‘복호화 키’를 무단취득하고, 지난 7월엔 유명 입시학원인 메가스터디와 시대인재의 강의동영상 약 700개를 ‘복호화 키’로 해제해 유포한 뒤 해당 입시학원을 협박해 비트코인 5개(다잇 시세 기준 1억8000만원)을 요구하기도 했다.

경찰은 이번 사건을 계기로 표준화된 전자책 보안 기술 개발이 필요하다고 제안했다. 경찰은 수사 초기 한국인터넷진흥원과 공격방식, 취약점 등을 규명해 디알엠의 보안상 문제점을 피해 업체에 공유하고, 문화체육관광부·한국저작권보호원 등과 회의를 개최해 추가적인 피해 방지를 위한 기술 개발을 권고했다고 밝혔다.

경찰 관계자는 “ㄱ군이 개인용 컴퓨터와 클라우드에 보관 중이던 전자책 등 ‘복호화 키’를 전량 회수하고, 공갈 당시 유포된 전자책 5000권과 강의동영상 약 700개 이외 추가 유포된 자료는 없는 것으로 파악했다”며 “인터넷에 게시된 불법 저작물을 내려받는 행위와 이를 제삼자에게 배포하는 행위는 저작권법에 따라 처벌될 수 있으며, 민사상 손해배상책임을 질 수도 있으므로 불법 저작물을 함부로 내려받거나, 배포하지 말아야 한다”고 했다.

고병찬 기자 kick@hani.co.kr