맥심과 그의 친구들이 나누는 대화를 며칠 동안 지켜보던 제작진은 그들이 그렇게나 많은 소셜미디어 계정을 가지고 있는 이유를 알게 되었다. 그중 한 친구가 웹사이트 하나를 언급했기 때문이다. "OG유저."

방송에서는 주소를 "ogusers.com"이라고 소개했지만, 도메인 주소를 변경해 현재 주소는 oguser.com이다. 웹사이트 이름은 "OG 사용자"라는 말이다. 여기에서 OG는 인터넷에서 흔히 쓰이는 표현으로 원래는 Original Gangster (원조 갱스터)라는 의미였지만, 지금은 그냥 '원조'나 '진짜,' 혹은 '초창기 멤버' 등의 의미로 사용된다. 참고로, 이 웹사이트는 2020년 트위터 비트코인 사기 사건을 비롯한 각종 범죄 행위에 사용된 것으로 악명이 높다.

OG유저 웹사이트는 흔히 보는 해커들의 포럼, 메시지 보드처럼 생겼다. 어두운 배경에 현란한 색깔의 폰트가 반짝이고 있었고, 오래 활동한 사용자들이나 해커들만 알아볼 법한 컴퓨터 용어들로 가득했다

이 웹사이트는 맥심과 같은 사람들이 잘 알려진 단어로 만들어진 소셜미디어 계정—지금은 구하기 힘든 희귀 계정으로, 이들은 이런 걸 "OG handle"이라고 부른다—을 사고 파는 장소였고, 인스타그램, 트위터, 스냅챗 등등의 온갖 소셜미디어를 망라하고 있었다. 가령, 인스타그램에서 '안티크라이스트(Antichrist, 적그리스도)' 같은 유명한 단어의 계정은 4,000달러(약 560만 원)에 팔렸는데, 이 계정을 판 사람이 바로 맥심이었다.

누가 고객일까? 주위에 자랑하고 싶은 사람들뿐 아니라, 유명인들도 여기에서 희귀한 계정 이름을 구매한다. 이곳에서 들리는 소문에 따르면 유명 뮤지션 크리스 브라운(Chris Brown)의 대리인이 이곳에서 인스타그램 계정을 문의하기도 했다.

찾는 사람이 상대적으로 적은 계정들은 여러 개를 한 번에 묶어서 팔기도 하고, 심지어는 남의 계정을 뺏는 방법을 돈을 받고 알려주기도 한다. (애초에 희귀 계정을 많이 가지고 있다는 사실 자체가, 그들이 이런 해킹을 일상적으로 해왔음을 보여준다.) 심지어 자기가 원하는 계정에 액수(현상금)를 걸고 해킹해달라는 주문도 올라온다.

여기까지는 파악했지만 제작진은 맥심이 어떤 인물인지, 어떤 방법을 사용해 리지의 스냅챗 계정을 빼앗았는지에 대해서는 여전히 아는 게 없었다. 그래서 다른 매체의 이 분야의 전문 기자를 통해 맥심과 똑같은 일을 하는 해커를 소개받아 인터뷰하기로 했다. 자신을 "워디(Worthy)"라고 소개한 이 남성은 맥심의 자낙스 친구들처럼 몇 명의 해커들과 팀을 구성해 남의 계정을 해킹해서 돈을 벌고 있다고 했다.  

심 스와핑 수법

워디는 자기 자랑을 늘어놓는 걸 좋아하는 종류의 사람이었다. 자기가 이끄는 해커들은 인기, 희귀 계정을 팔아 일 년에 870만 달러(약 120억 원)를 번다며, 인스타그램에서 'car' 계정의 경우 7만 달러(약 9,700만 원)를 받고 팔았다고 했다. 제작진으로서는 확인 불가능한 주장이었다.

그들은 어떻게 희귀한(=비싼) 계정을 꾸준히 탈취할 수 있을까? 워디와 친구 해커들은 심 스와핑(SIM swapping) 수법을 사용한다고 했다. 많은 소셜미디어 계정 이름, 즉 OG 계정명을 발견하면 해커들은 먼저 그 계정과 연계된 전화번호를 찾아낸다. 이 작업은 어려운 게 아니다. 소셜미디어 사용자의 실제 이름을 확인하고 그 사람의 전화번호를 찾는 건 일반인도 사용할 수 있는 적법한 방법이 많다.  

전화번호를 구하면 해당 통신사에 연락해서 "내가 폰(기기)을 변경했으니 새 폰으로 전화번호를 이전해달라"고 요구한다. 이 과정에서 통신사는 전화한 사람이 본인이 맞는지 확인하기 위해 주소와 사회보장번호(SSN, 한국의 주민등록번호처럼 사용되곤 한다) 등을 묻는다. 다음 글에서 설명하겠지만, 이런 정보는 초보 해커도 쉽게 구할 수 있다. 준비한 정보로 본인 확인 절차를 통과하면 통신사는 해커의 폰에 피해자의 전화번호를 옮겨 준다. 심(SIM, 가입자 인증 모듈)의 스와핑이 완성된 것이다.

소셜미디어 계정 탈취 작업은 여기서부터 본격적으로 시작된다. 아이폰을 업그레이드하는 것과 달라서 다른 사람의 심(혹은 유심)을 구했다고 해서 그 사람의 소셜미디어 계정에 들어갈 수 있는 게 아니다. 그저 그 전화번호를 사용할 수 있게 되었을 뿐이다. 하지만 많은 소셜미디어의 본인 확인이 전화번호를 사용한 2단계 인증(two-factor authentication)을 거친다. 여기에 허점이 있다.

해커들은 소셜 계정의 비밀번호를 잊었다고 하면서 이를 재설정한다. 그 과정에서 (해커가 미리 갖고 있는) 피해자의 정보를 확인하고 전화로 재설정할 수 있는 방법을 보낸다. 해커가 그걸 받아 계정의 비밀번호를 바꾸면 계정 탈취가 끝난다. 피해자는 그 계정에서 자동으로 로그아웃될 뿐 아니라, 심을 도둑맞아 전화도 사용할 수 없게 된다. 물론 폰이 먹통이 된 피해자는 통신사에 연락할 것이고, 통신사는 심 스와핑을 확인하고 번호를 다시 피해자에게 돌려줄 거다. 하지만 이미 빼앗긴 소셜미디어 계정은 통신사의 소관이 아니다. 해커는 이렇게 소셜미디어 계정을 뺏는다는 게 워디의 설명이었다.

워디는 심 스와핑을 하는 데 사용된 심카드는 전자레인지에 넣고 태운다고 했다. 팟캐스트 제작진이 일주일에 심카드를 몇 개나 태우냐고 했더니, 하도 많이 태워서 못쓰게 된 전자레인지가 한 달에 10개 넘게 나온다고 했다. 누가 들어도 허풍이었지만, 심 스와핑이 그렇게 쉽고 흔하게 일어난다는 건 사실로 보인다.

제작진은 워디의 설명을 듣기 불편했다. 이 해커들은 남들이 가진 좋은 계정을 빼앗기 위해 심 스와핑을 일상적으로 하고, 비트코인이나 은행 계좌에서 돈을 뺏는 걸 자랑하고 있었기 때문이기도 하지만, 이들이 때로는 범죄의 표적을 무작위로 고르기도 한다고 했기 때문이다. 그냥 무작정 사람들의 계정에 들어가서 뭘 가졌는지 들여다보고, 이를 위해 일반적인 검색 엔진이 접근하지 못하는 딥 웹(deep web)에 들어가서 전화번호 등의 개인정보를 벌크로 구매하기도 한다고 했다.

조금이라도 돈이 된다면 뭐든지 하는 사람들이었고, 그 과정에서 리지 같은 평범한 사람들의 삶을 망가뜨리는 일도 개의치 않았다. 워디는 자기 입으로 "나는 사람들의 인생을 망가뜨린다"고 말한다.

제작진이 심 스와핑에 관해서 알게 되면서, 리지가 스냅챗 계정을 도둑맞은 건 심 스와핑이 아니었다는 사실을 깨달았다. 만약 해커가 리지의 폰에 심 스와핑을 했으면 리지는 폰으로 통화는 물론이고 (와이파이가 연결되지 않는 한) 인터넷도 쓸 수 없었을 것이기 때문이다. 하지만 리지는 여행에서 돌아올 때까지 폰을 사용했고, 단지 스냅챗만 열리지 않았다. 워디의 설명은 제작진에게 계정 해킹에 관해 많은 것을 가르쳐 줬지만, 리지가 당한 피해는 여전히 수수께끼로 남았다.

그러던 어느 날, 전혀 뜻하지 않은 행운이 찾아왔다. (사실 행운이라기보다는, 끈기 있게 추적한 끝에 얻어낸 탐사 취재의 성과라고 하는 게 맞다.) 리지의 스냅챗 계정을 훔친 맥심과 친구들의 목소리를 직접 들어볼 기회가 생긴 것이다.

앞에서 얘기한 것처럼, 그들의 디스코드 채팅방에는 50~100명가량이 들어오니 숨어서 오가는 대화를 읽을 수 있었지만, 이들은 음성채팅방에서 모르는 아이디를 보면 즉시 쫓아내곤 했다. 그런데 그들 중 한 명이 대담하게도 최고 인기 인플루언서인 로건 폴(Logan Paul)의 트위터 계정을 해킹한 뒤,이를 자랑하기 위해 로건 폴의 계정으로 디스코드에서 공개 음성채팅방을 연 것이다.  

제작진은 처음으로 맥심, 셉, 그리고 에반, 이 세 해커의 목소리를 직접 들을 수 있었다. 이들의 대화는 대부분 해킹을 통해 얼마를 벌었는지, 어떤 옷과 신발을 사는지에 관한 내용—"루이비통의 스니커는 발이 아프고, 아디다스 이지(YEEZY)는 이제 질렸지만, 구찌의 에이스는 최고"—이었지만, 이를 듣고 있던 제작진은 뜻밖에도 셉과 에반이 맥심을 무시하거나 정서적으로 괴롭히곤 한다는 사실을 알게 되었다.

'계정 해커 이야기 ③'으로 이어집니다.