컴퓨터 내 파일을 암호화하는 악성코드인 랜섬웨어를 만들어 고객 컴퓨터에 몰래 심은 뒤 데이터 복구 비용을 뜯어낸 일당이 경찰에 붙잡혔다. 이들은 다른 랜섬웨어 공격을 받고 데이터 복구를 의뢰한 고객에게도 수리비를 부풀려 돈을 갈취했다.
서울경찰청 사이버수사과는 이런 수법으로 40개 업체로부터 3억 6,200여만 원을 가로챈 컴퓨터 수리업체 소속 기사 9명을 정보통신망법 위반, 사기, 컴퓨터등장애업무방해 등의 혐의로 입건하고 이 중 2명을 구속 송치했다고 16일 밝혔다. 나머지 피의자들은 이번 주 안에 검찰에 송치할 계획이다.
이들이 소속된 회사 역시 범죄 이익을 공유한 혐의로 입건됐지만 대표이사는 입건을 피했다. 경찰 관계자는 "회사 이익 분배 체계에 따라 수리기사 일당이 갈취한 돈 중 일부가 회사로 귀속됐지만, 대표이사가 이들과 공모했다는 정황은 발견되지 않았다"고 설명했다.
경찰에 따르면 피의자들은 지난해 12월 말 랜섬웨어를 제작하고 이를 유포해 돈을 뜯어낼 방법을 궁리했다. 이들은 경찰에서 "수리기사 일을 하다 보니 랜섬웨어 피해를 입은 데이터는 복구 비용이 비싸다는 점을 알게 돼 범행에 활용했다"고 진술했다.
이들은 고객 업체 20곳에 컴퓨터 출장 수리를 다니면서 몰래 컴퓨터 백신 프로그램을 해제하고 백도어 프로그램을 설치했다. 백도어 프로그램은 컴퓨터 이용자의 화면 및 키보드 입력 정보를 수집할 수 있는 것으로, 일당이 랜섬웨어 실행에 적절한 시기를 포착하는 데 활용됐다. 고객들은 랜섬웨어에 감염된 데이터를 복구하려고 수리기사를 찾으면서, 이들은 4개 업체로부터 3,000여만 원을 뜯어냈다.
경찰 관계자는 "국내 랜섬웨어 공격은 희소한데, 현장에서 USB(이동식 저장장치)를 꽂는 방식이 아니라 백도어 프로그램으로 원격 감염시킨 경우는 처음"이라고 설명했다.
일당은 다른 랜섬웨어 공격을 받은 뒤 데이터 복구를 의뢰한 21개 업체를 상대로 복구비를 부풀리는 방식으로 3억 3,000여만 원을 편취했다. △해커와 협상하면서 협상 내용이 담긴 이메일을 조작하거나 △자신들이 만든 랜섬웨어로 감염시켜 복구비를 추가 청구하는 식이었다.
경찰 관계자는 "한 업체의 데이터를 복구할 때는 해커가 0.8비트코인(BTC)을 요구했음에도 8BTC를 요구한 것처럼 이메일을 조작해 복구비 1억 3,000여만 원을 부당 취득한 경우도 있었다"고 설명했다.
이들은 접속 불량, 부팅 장애 등 일반적인 고장 증상을 랜섬웨어 공격이라 속여 복구비를 갈취하기도 했다.
경찰은 랜섬웨어 공격 신고를 접수해 해커들을 추적하던 중 일당의 범죄를 포착해 수사에 착수했다. 경찰 관계자는 "범행에 사용된 랜섬웨어와 원격 침입 악성코드 24개를 모두 압수했다"면서 "피해 사실을 모르던 39개 업체를 찾아냈고, 이 중 업무에 지장을 겪고 있던 3개 업체에 대해선 파일을 복구해줬다"고 말했다.
경찰은 랜섬웨어 감염 피해를 입었을 땐 반드시 신고해야 한다고 강조했다. 피해자들이 복구가 어렵다는 생각에 해커와 협상하려는 경우가 많은데 되레 역효과를 낳을 수 있어서다. 이번에 피해를 입은 업체 대표 A씨도 "랜섬웨어 감염은 해결 방법이 없다는 말을 들어 경찰에 신고를 포기했다"면서 "(일당이) 의심스럽다는 심증은 있지만 증거가 없었다"고 했다.
경찰 관계자는 "랜섬웨어 몸값을 지불할 경우 한국이 해커들의 지속적 공격 대상이 될 수도 있다"며 "수사를 통해 범인들을 붙잡을 수 있는 만큼 피해 발생 즉시 경찰에 신고해야 한다"고 당부했다. 이어 "범행 예방을 위해 백신 소프트웨어를 최신 버전으로 유지하는 등 PC 보안에도 각별히 주의를 기울여야 한다"고 말했다.