은행 고객 데이터 490만 건 유출… 금전 갈취 목적 다크웹 활동 경찰,
“과거 정부 해킹한 ‘원조 비요르카’와 동일범 여부 추가 수사 필요”
【자카르타= 한인포스트】 인도네시아의 주요 민간 은행 고객 정보 490만 건을 불법적으로 탈취하고, 이를 빌미로 금전을 요구한 20대 해커가 경찰에 검거되었다.
경찰 당국은 용의자가 과거 인도네시아 정부 기관을 해킹하며 전국을 뒤흔들었던 악명 높은 해커 ‘비요르카(Bjorka)’일 가능성을 열어두고 수사를 확대하고 있어, 사건의 파장이 일파만파 커지고 있다.
지난 2일, 메트로 자야 지방경찰청(Polda Metro Jaya) 사이버수사국(Direktorat Reserse Kriminal Khusus)은 공식 기자회견을 통해 북술라웨시주(Sulawesi Utara)에서 용의자 WFT(22)를 정보통신거래법(UU ITE) 위반 혐의로 체포했다고 발표했다. 용의자는 지난 9월 23일, 약 6개월에 걸친 경찰의 끈질긴 추적 끝에 검거된 것으로 알려졌다.
대담한 해킹과 협박
이번 사건은 지난 4월, 소셜미디어 플랫폼 X(구 트위터)에 ‘@bjorkanesiaaa’라는 계정 사용자가 특정 은행의 모바일 뱅킹 애플리케이션 화면을 캡처한 이미지를 게시하며 수면 위로 떠올랐다.
이 사용자는 자신이 수백만 건의 고객 데이터를 확보했다고 주장하며, 은행의 공식 계정을 직접 태그하여 메시지를 보내는 등 대담하고 조직적인 협박을 이어갔다.
나아가 그는 익명성이 보장되는 다크웹(dark web)의 한 포럼에 해당 데이터를 판매한다는 게시글을 올리며 자신의 주장에 신빙성을 더했다.
사태의 심각성을 인지한 해당 은행은 즉시 메트로 자야 지방경찰청에 공식 신고(등록번호 LP/B/2541/IV/2025/SPKT/POLDA METRO JAYA)했고, 경찰은 곧바로 전담 수사팀을 꾸려 수사에 착수했다.
메트로 자야 지방경찰청 사이버수사과 관계자는 “피의자의 주된 범행 동기는 금전적 이득을 취하려는 목적이었으나, 은행 측의 신속한 신고와 적극적인 대응으로 실제 금전 갈취로는 이어지지 않았다”고 밝히며 초기 대응의 중요성을 강조했다.
‘독학 해커’의 실체와 범행 수법
경찰 조사 결과, 용의자 WFT는 정보 기술(IT) 분야의 정규 교육을 받은 이력이 없는 인물로 밝혀져 충격을 주고 있다.
그는 직업전문고등학교(SMK)를 중퇴한 후, 온라인 자료 등을 통해 독학으로 해킹 기술을 습득했다. 특별한 직업 없이 2020년부터 자택에서 컴퓨터를 이용해 다크웹을 탐색하며 불법 데이터 거래에 깊이 관여해 온 것으로 드러났다.
WFT는 경찰의 추적을 따돌리기 위해 ‘비요르카(Bjorka)’, ‘스카이웨이브(Skywave)’, ‘샤이니헌터(ShinyHunters)’, ‘Opposite6890’ 등 다수의 가명을 주기적으로 교체하며 자신의 신원을 철저히 위장했다.
디지털 포렌식(digital forensic) 분석 결과, 그는 다크웹 포럼에서 은행, 의료 기관, 민간 기업 등에서 탈취한 것으로 추정되는 개인정보 데이터를 패키지 형태로 판매해 온 것으로 확인되었다. 특히 결제 수단으로 거래 추적이 어려운 암호화폐(cryptocurrency)를 이용하는 치밀함을 보였다.
‘원조 비요르카’와의 연관성은 미궁 속으로
이번 사건이 더욱 주목받는 이유는 용의자가 사용한 가명 ‘비요르카’ 때문이다. ‘비요르카’는 과거 인도네시아 대통령의 서신을 포함한 정부 기밀문서, 유권자 정보, SIM 카드 등록 정보 등을 해킹하여 공개하며 인도네시아 사회에 큰 파장을 일으켰던 해커의 활동명이다.
그러나 경찰은 WFT가 이 ‘원조 비요르카’와 동일 인물인지에 대해서는 신중한 태도를 견지하고 있다. 메트로 자야 지방경찰청 사이버수사국은 “피의자가 비요르카 혹은 Opposite6890이라는 가명을 사용한 것은 사실이나, 과거의 대규모 해킹 사건들과 직접적인 연관이 있는 동일 인물이라고 단정하기는 아직 이르다”며, “이를 명확히 규명하기 위해 추가적인 심층 조사가 반드시 필요하다”고 덧붙였다.
엄중한 처벌 예고, 사이버 안보 경각심 고조
경찰은 용의자 WFT에 대해 정보 및 전자 거래에 관한 법률, 즉 정보통신거래법(UU ITE) 제30조(불법적 접근), 제32조(정보 무단 변경 및 손상), 제35조(조작 정보 유포) 등을 적용하여 기소했다. 혐의가 모두 유죄로 인정될 경우, 인도네시아 현행법에 따라 최대 12년의 징역형과 거액의 벌금형에 처해질 수 있다.
이번 사건은 정규 교육을 받지 않은 개인이 독학으로 고도의 해킹 기술을 익혀 대규모 금융 데이터를 위협할 수 있다는 사실을 보여주며 인도네시아 사회에 다시 한번 사이버 안보에 대한 경각심을 불러일으키고 있다.
정부와 금융권을 중심으로 개인정보 보호 시스템을 전면 재점검하고, 나날이 지능화되는 사이버 범죄에 대한 근본적인 대응책 마련이 시급하다는 목소리가 높아지고 있다. (Rizal Akbar Fauzi 정치 경제기자)
이 기사가 정보에 도움이 되셨는지요? 기사는 독자 원고료로 만듭니다. 24시간 취재하는 10여 기자에게 원고료로 응원해 주세요. * 인도네시아 BCA 0657099868 CHONG SUN * 한국 계좌번호 문의 카톡 아이디 haninpost
*기사이용 저작권 계약 문의 : 카톡 아이디 haninpost
카톡아이디 haninpost
