경찰, 대학·기업 '랜섬웨어' 심고 비트코인 뜯던 국제조직 검거

파일 확장자 'clop'으로 바꾸는 랜섬웨어 심고 65비트코인 갈취
전 세계 랜섬웨어 피해액 2015년 3800억 원→올해 23조 6천억 원
한국 랜섬웨어 신고 건수도 꾸준히 증가… 올해 7월까지 97건
경찰 "개인 대상이던 랜섬웨어… 기업·공공기관까지 확대"

경찰이 전 세계에 랜섬웨어를 유포한 국제 범죄조직의 자금세탁 총책 등 4명을 다른 나라들과 합동수사를 통해 검거했다.

15일 경찰청 국가수사본수는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률', 공갈, 범죄수익은닉규제법 위반 혐의로 우크라이나 국적 3명과 A국가 국적 1명 등 피의자 4명을 이번 달 입건했다고 밝혔다.

이 중 자금세탁 총책 등 피의자 2명(우크라이나 1명, A국가 1명)에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.

국수본은 지난 6월 우크라이나 현지에서 우크라이나 경찰 및 미국 연방수사국(FBI), 인터폴과 함께 국내 대학·기업 등에 클롭 랜섬웨어(CLOP Ransomware)를 유포해 시스템을 마비시킨 뒤 금전을 갈취한 국제 랜섬웨어 범죄조직에 대해 대규모 압수수색 등 합동수사를 실시했다.

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만들고 이를 인질로 삼아 금전을 요구하는 범죄유형이다. 클롭 랜섬웨어는 암호화한 시스템 파일의 확장자를 'clop'으로 변경시키는 악성 프로그램이다.

이번 사건 피의자들은 2019년 2월 국내 대학·기업 4곳을 대상으로 클롭 랜섬웨어를 유포해 학사운영, 제조유통, 설비설계 등 정보자산이 보관·운영되던 피해업체들의 주요 시스템 720대를 암호화시켜 장애를 발생시켰다. 이후 암호를 풀어주는 대가로 총 65비트코인(당시 4억 1천만 원, 현재 45억 원)을 갈취했다.

이들은 사전에 보안 수준이 상대적으로 취약한 대학·중소 제조업체에 대해 정보를 수집한 후 관리자에게 업무로 위장된 포적형 악성 이메일을 발송해 열어보도록 하는 방법으로 내부 전산망에 최초 침입했다.

이어 소프트웨어 보안 취약점 등을 이용해 중앙관리시스템을 장악하고 관리대상 시스템들에 클롭 랜섬웨어를 감염시킨 뒤 가상자산을 요구했다.

피해 발생 직후 경찰청 사이버테러수사대는 유포된 악성프로그램, 침투·원격제어용 공격 도구, 전산망 침입 수법 등을 분석해 얻은 추적 단서에 대해 총 20개국을 상대로 80여 회에 걸쳐 국제공조를 진행했다.

또 약 2년여간 피해업체에서 지급한 가상자산을 역추적해 자금세탁에 사용된 약 1500여 개의 가상자산 지갑주소를 확인하고 국내·외 가상자산 거래소 6곳을 상대로 공조수사를 펼쳐 피의자들이 갈취한 가상자산을 최종적으로 수신한 외국 국적 피의자 9명을 특정했다.

지난 2월 한국과 우크라이나 경찰은 우크라이나 국적 피의자 3명에 대한 소재를 확인하고 합동 수사를 진행한 결과, 한국 경찰이 특정한 피의자 3명과 우크라이나 경찰이 자체 확인한 관련자 3명의 주거지 등 21개소를 압수수색하고 6명을 검거했다.
연합뉴스
한편 전 세계 랜섬웨어 피해금액은 2015년 3800억 원에서 올해 23조6천억 원으로 급격히 증가했다. 한국에서도 랜섬웨어 침해사고 신고 건수가 2018년 22건에서 2019년 39건, 지난해 127건, 올해 7월까지 97건으로 꾸준히 느는 추세다.

경찰은 "익명성이 보장된 가상자산 거래가 활성화됨에 따라 랜섬웨어도 빠른 속도로 국경을 넘어 확산하고 있다"며 "개인을 대상으로 공격하던 랜섬웨어가 기업과 공공기관 등으로 확대되고 있다"고 설명했다.


실시간 랭킹 뉴스