지난 2월 14일 동트기 직전 파키스탄 남부의 최대 도시 카라치 교외 조용한 주택단지. 파키스탄의 미르 마자르 자바르 사이버범죄 수사반장은 누르 아지즈 우딘(52)의 집 앞으로 다가섰다. 우딘은 미국 연방수사국(FBI)의 사이버범죄자 지명수배 1호였다. 자바르 반장은 문을 두드렸다. 그의 뒤에선 우딘의 집을 급습해 체포하려고 카라치 경찰이 대기했다. 우딘은 수사관들이 자신의 뒤를 쫓는다는 사실을 알고 있었다. 그는 2년반 동안 국제 수사망을 피해 도망 다녔다. FBI에 따르면 우딘은 세계적인 전화해킹 사기의 주모자였다.

해커인 우딘이 수사당국의 전화번호 해킹으로 꼬리가 잡혔다는 사실은 그야말로 아이러니다. FBI에 따르면 우딘은 대규모 전화해킹 범죄단의 배후인물이었다. 그와 공범 파란 아르샤드는 그런 사기로 떼돈을 벌었다. 그들은 2008~2012년 4년 남짓한 기간에 세계 전역에서 유선전화를 해킹해 5000만 달러 이상을 챙겼다. 신용카드 해킹은 일반인도 잘 안다. 그러나 전화해킹은 거의 알려지지 않았다. 내부자들은 그들을 PBX(사설교환기) 해커 또는 ‘프리커(phreaker)’로 부른다. 프리커는 전화를 뜻하는 ‘phone’과 괴짜라는 뜻의 ‘freak’를 연결한 조어다(전화를 본래의 의도와 달리 도용하거나 불법적으로 사용하는 사람을 지칭하는 은어로 한때 호기심이나 탐구심의 결과로 인정되기도 했지만 지금은 범죄로 규정된다). 전문가에 따르면 전화해킹 사기는 너무도 간단하며 그런 사기가 최근 급증하는 추세다. FBI에 따르면 우딘과 아르샤드는 미국 기업의 전화선을 해킹해 그 전화번호를 탈취한 다음 그 번호를 이용해 비싼 프리미엄 서비스(분당 50센트~3달러)에 끊임없이 자동 다이얼을 하게 했다.

이 사기의 핵심은 프리미엄 서비스 전화선의 실제 소유주가 해커라는 사실이다. 피해자의 전화번호를 도용해 결국 해커 자신에게 돈이 지불되도록 하는 것이다. 약간 복잡하지만 이렇게 생각해 보라. 누군가 당신의 스마트폰을 훔쳤다고 치자. 그 절도범은 스마트폰을 온라인 벼룩시장에서 팔지 않고 그 전화를 이용해 분당 3달러인 폰섹스 서비스에 전화를 건다. 요금으로 수천 달러가 나올 때까지 계속 전화를 걸어댄다. 절도범이 전화를 거는 폰섹스 서비스는 실제가 아니라 그가 소유한 전화번호다. 그런 사실을 모르는 당신은 매달 요금을 통신사에 꼬박꼬박 납부해야 한다. 당신이 요금에 이의를 제기해도 통신사는 책임지지 않는다. 거의 모든 통신사 고객의 계약서에는 사용된 전화번호의 소유자가 발생한 요금을 물게 돼 있다.

도난 신용카드 피해 규모와 비슷

우딘은 전화번호를 해킹할 기업을 무작위로 고른 듯했다. FBI의 공식 고발장에는 특정 회사의 이름이 들어 있지 않다. 그러나 예시를 보면 뉴저지주 리빙스턴의 한 업체는 2만4120달러(약 2640만원), 뉴저지주 잉글우드의 한 회사는 8만3839달러(약 9180만원)를 사기당했다. 해킹 자체는 대개 하루 안에 끝났다. 주로 사무실에 아무도 없는 주말을 이용했다. 이런 해킹이 비교적 드물다고 생각할지 모르지만 절대 그렇지 않다. 미국 기업이 사설 교환기 전화해킹으로 입는 피해는 매년 약 5억 달러(약 5500억원)이다. 도난당한 신용카드로 입는 피해와 거의 비슷한 수준이다. 피해가 막대하고 사례가 늘어나는 데도 전화해킹의 문제를 거론하는 사람은 거의 없다. 사이버범죄 전문가 셰인 맥두걸은 “보안 업계에서도 전화해킹 사기를 모르는 사람이 있을 정도”라고 말했다.

왜 그럴까? 우선 이런 사기의 피해자는 대개 중소기업이다. 해킹당했다고 알려지면 기업 이미지가 나빠지기 때문에 그들은 대부분 그냥 요금을 지불하고 끝낸다. 더구나 지역 경찰에 수사를 의뢰하기도 거의 불가능하다. 해커는 주로 중동이나 아시아, 아프리카에 거주하며 거의 언제나 가상사설망(VPN)을 이용하거나 발신자 정보 표시를 차단해 익명성을 유지한다. 우딘은 세계 전역에서 수십 명을 고용해 전화해킹 사기행각을 벌였다고 FBI는 밝혔다. 그들은 필리핀·스위스·스페인·싱가포르·이탈리아 등지에 살았다. 그들이 4년여 동안 기업체 4800곳의 전화번호를 탈취해 걸어댄 통화 시간은 1300만 분(21만6666시간)이었다. 그러나 결국 꼬리가 잡혔다.

우딘의 체포는 법집행 당국으로선 대단한 성과다. 그러나 자바르 반장은 우딘 외에도 그 같은 범죄자 수천 명이 매일 사기행각을 벌이고 있다는 사실을 잘 안다. PBX 사기는 명함을 건네는 것 같은 단순한 일에서 시작될 수 있다. 해커가 당신의 전화선에 침투하는 가장 간단한 방법은 놀랍게도 음성메일을 이용하는 것이다. 사기 탐지 소프트웨어 업체 PBX월을 설립한 폴번 대표는 “이런 범죄자들은 아주 기발하다”고 말했다. PBX는 결국 구내전화 시스템이다. 해커는 표적 사무실의 유선 전화번호에 전화를 건 다음 음성메일이 작동하기를 기다린다. 그 다음 음성 사서함의 비밀번호를 추측한다. 수동으로 암호를 풀 수도 있지만 대부분은 컴퓨터 해킹에 사용되는 것처럼 성능이 뛰어난 소프트웨어를 사용한다. 비밀번호를 알아내 그 전화 시스템에 침투하면 착신 전환 서비스를 바꿔 해커 자신이 소유한 프리미엄 서비스 전화번호로 전화를 계속 걸게 한다. 그러면 돈이 저절로 굴러 들어온다.

해커는 주로 로보콜(robo-call, 자동 발신 전화) 소프트웨어를 사용해 수백 차례나 전화가 걸리도록 만든다. 착신 전환을 해뒀기 때문에 매번 전화는 전부 자동으로 해커가 소유한 프리미엄 서비스 전화번호로 걸린다. PBX월의 폴 번 대표는 “금요일 밤에 해킹을 당해 월요일에 그런 사실을 알게 되면 사기당하는 액수가 평균 10만 달러(약 1억1000만원) 정도”라고 말했다. “피해자가 통신사에 신고를 해도 통신사는 책임지지 않는다. 그게 텔레콤 업계의 공공연한 비밀이다.”

PBX 해킹은 1950년대 말부터 시작됐지만 시간이 흐르면서 변형됐다. 처음엔 악의 없는 장난에 불과했다. 머리 잘 돌아가는 기술 전문가(자칭 ‘프리커’)가 해킹의 짜릿함을 맛보려고 전화시스템에 침투했다. 애플을 공동 창업한 스티브 잡스와 스티브 워즈니악도 1970년대 초 프리킹으로 장난을 쳤다. 그러나 1980년대 프리미엄 서비스 전화번호가 도입되면서 해커들은 그런 전화선을 이용하면 큰돈이 된다는 사실을 깨달았다. 당시 가장 수익성 좋은 프리미엄 서비스 전화선 중 하나는 헐크 호건 핫라인이었다. 유명한 프로레슬러인 그에게 전화를 걸면 분당 1달러49센트에 그가 녹음한 소중한 인생 조언을 들을 수 있었다.

과거엔 전화 해커가 프리미엄 전화선을 해킹해도 돈이 그리 많이 되진 않았다. 옛 전화 시스템은 동시에 서너 통화만 가능했기 때문이다. 그러나 지금은 다르다. 미국 기업이 사용하는 대다수 전화 시스템은 인터넷 전화(VoIP)다. 인터넷 전화는 기존의 유선 전화보다 대역폭이 훨씬 넓다. 해커가 수백, 수천 통의 전화를 동시에 걸 수 있다는 뜻이다.

유튜브 동영상에 해킹 동영상 떠돌아

PBX 해킹을 부추긴 다른 요인도 있다. 해커는 유튜브에 최고의 PBX 해킹 ‘요령’을 동영상으로 올린다. 사이버범죄 전문가 맥두걸은 “유튜브 동영상부터 해킹 포럼까지 없는 게 없다”고 말했다. 전화해킹은 예방하기가 그리 어렵지 않다고 맥두걸은 말했다. 내부 전화보안 조치를 강화하고 통화기록을 매일 점검하면 된다. 통신사기통제협회(CFCA)가 격년으로 발표하는 업계 통계에 따르면 2013년 미국 전화해킹 피해는 44억2000만 달러(약 4조8000억원)였다.

번역=이원기