블라인드 속 그 경찰·삼성맨은 가짜…"계정 돈 주고 사" 수사는 난항

머니투데이

이강준 기자
남미래 기자

18일 오전 경기도 수원시 삼성전자서비스 본사. 사진은 기사와 연관없음/사진=뉴스1

100개의 허위 블라인드 계정을 만들어 판매한 30대 남성을 검거한 경찰이 유사한 범죄가 있었는지 추가 수사를 진행하고 있다. 그러나 미국에 본사를 둔 블라인드 측으로부터 관련 정보를 제공받기 어려워 수사가 난항을 겪고 있다.

7일 경찰에 따르면 경찰청 사이버수사국은 블라인드에서 경찰을 사칭하며 살인예고글을 게시한 피의자에게 비정상적인 방법으로 계정을 만들어 판매한 A씨(35)를 지난 1일 검거했다. IT업계 종사자인 A씨는 삼성·SK 등 국내 대기업 계열사와 경찰청·교육부 등 공공기관 명의의 블라인드 계정을 판매한 혐의를 받는다.

경찰에 따르면 A씨는 올해 초 이직하려는 회사의 분위기를 파악하기 위해 블라인드 계정을 구하던 중 실제 존재하지 않는 허위 이메일 주소로도 계정을 생성하는 방법을 혼자서 파악했다. 그는 IT 관련 업계에서 5년 이상 근무했던 보안 전문가였다.

블라인드는 기본적으로 이메일 등으로 직장을 인증해야 가입할 수 있고 게시글에는 인증받은 직장이 표시된다. A씨는 블라인드의 인증 과정상 보안 허점을 발견해 이를 악용했다.

블라인드 이메일 보조 인증 절차/사진제공=경찰청

블라인드는 이메일로 직장을 인증하도록 하지만 이 같은 방법으로 증명이 어려운 경우 보조 인증 절차를 거친다. 이 절차에서는 인증하고자 하는 이메일을 통해 블라인드 업체 공식 이메일로 특정 코드를 전송하면 된다. 경찰청 직원으로 인증할 경우 '[email protected]' 이메일로 블라인드에 코드를 보내면 회원가입이 진행되는 식이다.

A씨는 자신이 개발한 프로그램을 통해 허위 인증 이메일을 100개 이상 만들었다. 삼성 직원 이메일은 '[email protected]', SK 직원 이메일은 '[email protected]' 등으로 제작했다. 이 이메일을 통해 블라인드에 인증 코드를 전송했고 허위 블라인드 계정 100개를 만들었다.

그는 이 방법으로 지난 6월말부터 지난달 초까지 삼성·SK·LG 등 대기업 계열사와 경찰청·교육부 등 공공기관 소속으로 표시되는 블라인드 계정을 만들었다. 이어 개인 간 거래 사이트 등을 통해 개당 최대 5만원에 판매해 약 500만원을 벌어들인 것으로 조사됐다.

경찰청 블라인드에 살인예고글을 올렸던 계정도 A씨가 판매한 허위 계정이었다. 30대 직장인 B씨는 지난 21일 오전 블라인드 게시판에 경찰청 직원 계정으로 '오늘 저녁 강남역 1번 출구에서 칼부림한다'라는 제목의 게시글을 올렸다. 경찰은 다음날 오전 서울 모처에서 B씨를 긴급체포했다.

살인예고글을 올린 블라인드 계정 인증에 사용된 경찰 이메일도 실제 정상적으로 생성된 적이 없던 허위 이메일이었던 것으로 파악됐다.

/사진=임종철

경찰은 블라인드를 압수수색하거나 관련 정보를 단 하나도 제공받지 못하고 자력으로 수사했다. 블라인드의 본사와 서버는 미국에 있어 한국 경찰이 접근할 권한이 없기 때문에 이 곳의 협조가 없으면 수사에 한계가 있을 수밖에 없다.

경찰은 A씨 수법으로 생성된 계정이 추가로 존재하는지 여부와 경찰청 블라인드에 살인예고글을 올렸던 1개 계정 외에 99개 계정이 범죄행위에 쓰였는지 아직 확인하지 못한 상태다. 블라인드가 관련 정보를 제공하지 않아서다.

경찰은 A씨가 블라인드에서 악용했던 수법이 지난달 중순 이후로 막힌 것을 확인했다. 또 경찰 조사가 시작된 이후 A씨가 판매했던 계정을 자진 탈퇴·삭제해 추가 범죄 가능성은 높지 않은 상황이다.

그러나 경찰은 A씨 같은 IT 지식이 있는 전문가들이 또 다른 범죄를 일으킬 수 있다고 보고 있다. A씨 사건은 일단락됐지만 유사 범죄가 발생할 가능성을 배제할 수는 없다는 얘기다.

블라인드는 이미 전담팀을 마련해 비정상적 가입 시도를 막는 작업을 지속했다는 입장이다. 기본적으로 경찰 수사에 적극 협조한다는 게 원칙이지만 가입자를 특정할 수 있는 정보는 갖고 있지 않아 제공이 어렵다고도 했다.

블라인드 관계자는 "경찰 수사에 성실히 협조하는 게 원칙"이라며 "블라인드는 가입자를 특정할 수 있는 정보라면 어떤 것이든 저장하지 않는다. 정보를 안 주는 게 아니라 없어서 못 주는 것"이라고 말했다.