미국의 18세 해커가 유명 온라인 스포츠 베팅 사이트를 해킹하여 수만 개의 계정을 훔치고 판매한 혐의로 검거되었습니다. 미국 최대의 온라인 토토사이트 중 하나인 드래프트킹스(DraftKings)와 팬듀얼(FanDuel) 회원 수만 명의 개인정보를 훔치고 판매한 혐의입니다. 이번에 발생한 토토사이트 해킹 사건으로 사설토토 해킹에 대한 세간의 두려움이 커진 상황입니다.
뉴욕 연방 검찰은 2023년 5월 18일 위스콘신(Wisconsin)주 메디슨(Madison)시에 거주하는 18세 남성 조셉 개리슨(Joseph Garrison)을 개인정보보호법 위한 혐의로 형사 고소했습니다. 그가 사용한 토토사이트 해킹 원리는 간단합니다. 고소 내용에 따르면 조셉 개리슨은 2022년 11월 18일부터 인터넷 버전 암시장인 다크넷(Dark Net)을 통해 도난당한 사용자의 아이디와 비밀번호를 대량으로 구매하였습니다. 사람들이 여러 사이트에서 동일한 아이디와 비밀번호를 사용하는 경우가 많다는 점을 이용해, 계정 소유자가 회원으로 가입한 온라인 스포츠 베팅 사이트에 무단으로 접속했습니다.
토토사이트 해킹은 몇 주에 걸쳐 진행되었고, 그는 사이트에서 고지하는 출금 방법을 기재하여 계정을 다양한 웹사이트에 판매했습니다. 그가 접근한 계정의 개수는 약 67,995개에 달하며, 조셉 개리슨과 공범들이 판매한 계정은 약 1,600개에 피해 금액만 60만 달러(8억 원)에 달하는 것으로 드러났습니다. 범인들에게서 불법적으로 계정을 구매한 사람 중 일부는 계정에 새로운 출금(환전) 방법을 추가하여 충전된 금액을 무단 인출한 것으로 알려졌습니다. 이들은 새로 등록한 출금 방법이 유효한지 확인하기 위해 해당 사이트에 5달러(6천 원)를 입금한 뒤, 새로 등록한 출금 요청 계좌로 정상적인 출금이 이루어지는지 확인하는 용의주도한 모습을 보였습니다.
조셉 개리슨이 토토사이트 해킹에 사용한 프로그램은 오픈불릿(OpenBullet)과 실버불릿(SilverBullet), 2가지입니다. 이 프로그램은 해킹을 위해 해킹 대상 웹사이트의 개별화된 사용자 정의 스크립트(Customizable Scripts) 파일을 사용합니다. 범인들은 사용자 아이디와 비밀번호가 포함된 스크립트 파일만 3,800만 개 이상 사용한 것으로 알려졌습니다. 또한 FBI 수사관들은 다른 수십 개의 토토사이트 해킹을 위해 준비한 700여 개의 스크립트 파일을 발견하기도 했습니다.
케빈 미드(Kevin Mead)와 미카 퍼겐슨(Micah Fergenson) 검사의 고소장에 따르면 특정 스포츠 베팅 사이트의 이름이 명시되어 있지 않았으나, CNBC는 익명의 출처를 인용하여 피해 업체가 드래프트킹스와 팬듀얼이라는 사실을 밝혀냈습니다. FBI 뉴욕 현장 사무소 부국장 마이클 드리스콜(Michael J. Driscoll)은 “혐의 내용과 같이 조셉 개리슨은 수십만 달러를 훔치기 위해 정교한 사이버 공격을 감행하여 피해자 소유의 계정에 무단 접근했다”고 밝혔습니다. 이어 “개인의 자금을 훔치기 위한 사이버 공격은 우리 사회에 심각한 위협이 되고 있다”며, “사이버 공격에 맞서 싸우고 형사 처벌 대상인 범죄자를 검거하는 것은 FBI의 최우선 과제”라 덧붙였습니다.
해킹 피해 사실이 조금씩 불거지기 시작하자, 스포츠 베팅 사이트 운영진은 사실 여부를 확인하기 위해 인터넷에서 판매되는 도난 계정을 직접 구매했고, 이후 해당 계정에서 본래 소유자의 자금을 출금하는 방법을 전달 받았습니다. 출금 방법 안내 지침은 사진 형태로 배포되었는데, 이 사진이 유명 파일 공유 커뮤니티 ‘imgur.com’에 올라온 것이 단서가 되었습니다. CNBC는 도난당한 드래프트킹스와 팬듀얼 계정을 판매하는 웹사이트에서 해당 사진과 동일한 사진을 발견했습니다. 이로 인해 출금 방법 안내 이미지에 포함된 계정 소유자의 사진을 최초 도난시 사용된 IP 주소에 연결하는 데 성공했습니다. 사법 기관 또한 도난 계정을 구매하여 안내 지침에 연결된 IP 주소를 확보한 덕에 조셉 개리슨을 찾을 수 있었습니다. 그리고 지난 2월 23일 수색 영장을 발부받아 조셉 개리슨의 집에 있는 PC와 휴대폰 등을 압수했습니다.
조셉 개리슨과 공범들이 나눈 대화 로그 또한 압수당했습니다. 대화 내역에는 토토사이트 해킹 방법과 피해자 계정에서 무단으로 자금을 인출하는 방법, 피해자 계정에 대한 접근 권한을 판매하여 이익을 얻는 방법을 논의한 내용이 담겨 있습니다. 조셉 개리슨은 공범과의 대화에서 “사기치는 것이 재밌다(Fraud is Fun)”고 말하기까지 했습니다. 그리고 “내 계좌에 쌓인 돈을 보는 것에 중독됐다”고 말했습니다.
대화 내역에는 “잘 모르겠다, 그게 내 인생을 망쳤다”고 말한 기록도 있습니다. 그가 말하는 ‘그것’은 이번에 구속 기소되기 전에 벌어진 사법 기관과의 알력을 말하는 것으로 추정됩니다. 2022년 6월 조셉 개리슨은 도난 계정에 대한 접근 권한을 판매하는 ‘양 판매점(Goat Shop)’이라는 이름의 웹사이트를 운영한 혐의로 위스콘신 경찰의 심문을 받은 바 있습니다. 그는 이 웹사이트를 통해 약 80만 달러(10억 6천만 원)를 벌었다고 주장했지만 더는 다크넷을 이용하지 않는다고 증언했습니다.
이후 1년도 채 지나지 않아 개리슨은 토토사이트 해킹 음모(최대 5년 형) 및 고의적 사기를 목적으로 보안 컴퓨터에 대한 무단 접근(최대 5년 형), 보안 컴퓨터에 대한 무단 접근(최대 5년 형), 전자통신 사기 공모(최대 20년 형) 및 전자통신 사기(최대 20년 형), 특정범죄 가중처벌법상 개인정보 도난 혐의(최대 2년 형)로 기소되었습니다. 이 중 가장 위중한 두 가지 혐의는 각각 최대 20년의 징역형을 선고받을 수 있습니다. 다만 미성년자 범죄와 관련한 연방 지침에 따라 실제로는 훨씬 적은 형벌을 받게 될 가능성이 높습니다.
특히 공범들과 나눈 대화에는 본인이 검거될 것인지 여부를 놓고 공범들과 내기까지 벌인 것으로 드러났습니다. 뉴욕 남부 지방 검사 데미안 윌리엄스(Damian Williams) 검사는 위스콘신 서부 검찰청의 협력에 감사를 표하며, “개리슨은 토토사이트 해킹을 통해 수만 명의 계정을 훔치고 수십만 달러의 범죄 수익을 거뒀으며, 우리와 FBI의 협력으로 범인은 무사히 빠져나갈 수 있으리라 내기를 하면 안 된다는 사실을 알게 되었을 것”이라 말했습니다.
토토사이트 해킹 사건의 최대 피해자인 드래프트킹스는 대변인 성명을 통해 “범인들은 드래프트킹스가 아닌 제3자 출처를 이용해 획득한 계정 접속 자격을 통해 일부 사용자 계정에 접근했다”고 말했습니다. 이번 토토사이트 해킹으로 인해 유출된 드래프트킹스의 개인정보는 아래와 같습니다.
대변인은 “주 법에 따라 관할권의 특정 고객에게 개인정보 해킹 사실을 통지했다”고 말했습니다. 현재 범인들이 회원의 사회보장번호, 운전면허증 번호 또는 금융 계좌 번호까지 접근하지는 않은 것으로 보이며, 개인정보가 유출된 것으로 의심되는 회원들에게 개별적인 알림을 보냈습니다. 또한 “범인들이 결제 카드의 마지막 4자리 숫자를 보았을 수 있지만, 전체 카드 번호와 유효기간 및 CVC 번호는 계정 정보에 저장되지 않기 때문에 범인들이 확인할 수 없다”고 말했습니다. 대변인은 “고객의 개인정보 및 결제 정보 보호는 가장 중요한 요소”라며, “범인을 잡기 위해 사법 기관과 협력하였고 범죄자 체포에 성공한 FBI 및 미국 법무부에 감사를 표한다”고 밝혔습니다.
드래프트킹스는 도난당한 계정의 무단 인출된 자금을 모두 원상복구했습니다. 다만 팬듀얼은 개인정보가 유출된 계정의 개수 등 정확한 피해 사실을 밝히지 않았으며, 보안 시스템 덕에 실질적인 피해가 크지 않았던 것으로 알려졌습니다. 미국 게임 협회(American Gaming Association) 정부 관계 담당 수석 부사장(Senior Vice President, Government Relations)인 크리스 실케(Chris Cylke)는 CNBC와의 인터뷰를 통해 “미국의 합법적인 토토사이트 업체들은 소비자에게 안전한 베팅을 제공하기 위해 노력하고 있다”고 말하며, “이번 토토사이트 해킹 사건은 사법 기관이 범죄자들에게 경종을 울리는 본보기가 될 것”이라 말했습니다.
보안에 취약한 사설 토토사이트는 해킹 위험이 높은 편입니다. 연간 수백, 수천 개의 토토사이트가 새로 생겨나고 소멸을 반복할 만큼 생명 주기가 짧기 때문에 사이트 개발 수요가 많고, 수요를 감당하기 위해 수준 낮은 개발자들이 웹사이트를 개발하는 경우가 많습니다. 또한 보안 전문가를 따로 두지 않고 1~2명의 일반 개발자가 보안을 포함한 개발 전반을 담당하는 경우가 많다 보니 보안에 특별한 노력을 기울이기 어렵습니다. 이로 인해 수많은 불법 사이트 해킹 사례가 이어지고 있음에도 불구하고 개인정보 보호를 위한 적절하고 효과적인 조치가 이루어지기 힘든 상황입니다.
토토사이트 특성상 수시로 입금과 출금이 이루어지는 탓에, 계정 정보에 본인 인증을 완료한 휴대폰 번호와 계좌 번호, 신용카드 번호 등이 저장되어 있어 개인정보가 유출됐을 경우 무척 피해가 크다는 것 또한 문제입니다. 심지어 일부 토토사이트는 웹사이트를 폐쇄하기 전에 그동안 확보한 고객 정보(DB)를 다른 업체에 팔아 넘기는 일까지 벌어지고 있습니다. 고객 정보를 입수한 다른 업체는 문자 서비스와 TM 전화 등을 통해 본인들의 업체를 홍보합니다. 도박사이트 해킹 처벌 수위가 낮은 점 역시 해커들이 토토사이트를 주요 해킹 대상으로 삼는 이유 중 하나입니다. 해킹으로 인해 막대한 금전적 손실과 피해가 벌어지고 있지만 해킹에 대한 처벌은 징역 5년 이하 혹은 5천만 원 이하의 벌금 수준에 불과합니다.
< 저작권자 © ‘토토친구’ toto79.org, 무단전재 및 재배포 금지 >
토토친구는 먹튀검증 작업을 통해 다양한 사설토토, 안전놀이터, 메이저사이트 중 가장 완벽하고 안전한 토토사이트를 선별하여 여러분에게 추천합니다.
READ MORE