‘랜섬웨어’ 유포해 45억 원 갈취한 국제범죄조직 검거

국내 대학과 기업에 랜섬웨어를 유포한 뒤 암호를 풀어주는 대가로 비트코인을 갈취한 국제 범죄 조직 일당이 우크라이나 현지에서 검거됐습니다.

경찰청 국가수사본부는 지난 6월 우크라이나 키예프에서 현지 경찰과 미국 연방수사국, 인터폴과 합동으로 랜섬웨어 범죄 조직원의 주거지 등 21곳을 압수수색하고, 6명을 검거했다고 밝혔습니다.

경찰은 이 가운데 우크라이나 국적 피의자 3명과 다른 국적 피의자 1명을 공갈과 범죄수익은닉규제법 위반 등의 혐의로 입건했습니다.

하지만 경찰은 범죄인 인도와 관련된 국제조약과 우크라이나 형사법상 이들의 국내 송환은 어렵다고 보고 있습니다.

다만 이들이 국경을 넘을 경우, 신병을 확보해 국내로 송환할 수 있도록 피의자 4명 중 자금 총책 2명에 대해서는 법원에서 체포 영장을 발부받아, 인터폴에 적색 수배를 요청했습니다.

■ 대학·기업 노렸다...비트코인으로 45억 원 갈취

이들은 2019년 2월 국내 대학과 기업 4곳에 ‘클롭 랜섬웨어’를 유포해 학사 운영과 제조·유통 정보 등이 보관된 시스템 720대를 암호화시켰습니다. 이후 이를 풀어주는 대가로 65비트코인, 현재 시세로 한화 45억 원을 갈취한 혐의를 받고 있습니다.

이들은 보안 수준이 상대적으로 취약한 대학과 중소 제조업체를 노렸습니다. 관리자들에게 업무로 위장된 악성 이메일을 보낸 뒤 열어보게 하는 방식으로 내부 전산망에 침입해 시스템을 랜섬웨어에 감염시킨 것으로 조사됐습니다.

랜섬웨어 범죄는 전산시스템의 데이터를 암호화해 사용할 수 없게 만든 뒤 금전을 요구하는 것을 말합니다. 클롭 랜섬웨어는 암호화한 시스템 파일의 확장자를 ‘clop’으로 변경시키는 프로그램입니다.

■ 20개 나라와 국제 공조...작전명 ‘사이클론’

경찰청 사이버테러수사대는 해당 프로그램과 원격제어용 공격 도구 등을 분석해 확보한 추적 단서에 대해 20개 나라와 80여 차례에 걸쳐 국제 공조를 진행했다고 밝혔습니다.

이 과정에서 한국 경찰과 인터폴의 주도로 클롭 랜섬웨어 피해를 본 16개 나라가 참여한 가운데 ‘사이클론’이라는 이름의 공동 대응 작전을 추진했다고 덧붙였습니다.

또 가상 자산 추적 등 분야별 전문가 4명으로 수사팀을 구성해 우크라이나에 파견했고, 2주에 걸쳐 현지 경찰과 함께 압수수색 등 합동 수사를 했다고 설명했습니다.

진우경 경찰청 사이버테러수사2대장은 “랜섬웨어 공격은 악성 프로그램을 개발해 전산시스템에 침입하고, 피해자와 협상해 얻은 이익을 환전하는 등 역할이 분담돼 있다”며 “악성 프로그램을 유포한 해커들도 계속 추적할 계획”이라고 밝혔습니다.

경찰청 사이버수사국은 오는 18일부터 열리는 국제 사이버범죄 대응 심포지엄에서 이번 사례를 인터폴과 전 세계 법 집행기관에 공유할 예정이라고 밝혔습니다.