컨텐츠 바로가기
68821097 0032021061668821097 02 0201001 society 7.1.5-RELEASE 3 연합뉴스 0 false true false true 1623812423000

"수리하러 왔습니다" 고객 안 볼 때 랜섬웨어 심어

댓글 1
주소복사가 완료되었습니다

해커에 줄 몸값도 부풀려…피해자 대부분 신고 꺼려

경찰 "해커 수사·추적 중…피해 즉시 신고해달라"

연합뉴스

경찰, 랜섬웨어 제작·유포한 컴퓨터 수리기사 일당 검거
(서울=연합뉴스) 홍해인 기자 = 서울경찰청 사이버수사과는 수리 의뢰를 받은 고객의 컴퓨터에 자체 제작 랜섬웨어를 감염시키거나 복구 과정에서 업체들을 속여 총 3억여원을 받아 챙긴 혐의로 모 컴퓨터 수리업체 소속 A(43)씨와 B(44)씨 등 기사 9명을 검거했다고 16일 밝혔다. 사진은 경찰 관계자가 이들의 범행 수법을 설명하는 모습. 2021.6.16



(서울=연합뉴스) 정성조 기자 = 경리·회계 등 기업 업무 전산화 서비스를 제공하는 A 업체의 서버가 지난해 5월 갑자기 '먹통'이 됐다.

회원사들의 아우성에 원격으로 컴퓨터들을 살펴보니 문서 파일들이 정체 불명의 확장자로 바뀐 채 암호화된 상태였다. 메모장 파일에는 "나는 돈을 원한다"는 영어 문장과 이메일 주소 하나가 적혀 있었다. 랜섬웨어에 감염된 것이다.

업체 대표 B씨는 복구를 맡길만한 곳이 있는지 인터넷 검색을 했다. 방문한 수리기사는 "해커들과 교섭을 대신 하고 '몸값'을 싸게 흥정해주겠다"며 서버를 가져갔다.

며칠 뒤 수리기사가 전한 해커의 요구액은 1비트코인(BTC). 부가세까지 달라고 해 약 1천700만원을 보내자 암호가 풀렸다. 그런데 얼마 안 가 파일들에 또 자물쇠가 걸렸다.

B씨는 16일 통화에서 "수리기사가 사기꾼이라는 심증은 있었지만 (경찰에 신고할만한) 증거가 없었다"고 말했다.

급한 마음에 800만원 가량을 또 보낼 수밖에 없었다. 그는 올해 4월 경찰의 연락을 받고서야 수리기사가 범행에 가담했다는 짐작이 맞았음을 알게 됐다.

연합뉴스

랜섬웨어 작동 시연하는 경찰
(서울=연합뉴스) 홍해인 기자



◇ "수리하러 왔습니다"…원격 조종 프로그램 심어

서울경찰청은 16일 정보통신망법 위반·사기 등의 혐의로 전국 규모의 모 컴퓨터 수리업체 소속 기사 9명을 검거했다고 밝혔다.

범행에 주도적 역할을 한 기사 2명은 구속했고, 기사들과 이익을 나눠 가진 수리업체도 양벌규정으로 입건했다. 피해 업체는 모두 40곳으로 파악됐다.

경찰에 따르면 이들은 출장 수리를 가서 고객이 안 보는 사이 '백도어'(주인 몰래 뒷문으로 드나드는 것처럼 보안 허점을 이용해 인증 절차 없이 시스템에 접근해 가하는 공격) 프로그램을 심었다.

고객이 컴퓨터로 업무를 재개하면 중요한 문서가 저장되는 등 적절한 때를 노려 랜섬웨어를 가동해 암호화했다. 이렇게 되면 몸값을 대가로 해독 프로그램이 실행되기 전까지 피해 컴퓨터 속 문서 등 파일들은 '.enc' 확장자로 바뀐 채 사용 불능이 된다.

이들은 랜섬웨어를 제작·유포하는 해커와 수리기사 노릇을 동시에 하는 이런 수법으로 피해 업체 4곳으로부터 3천200여만원을 받아 챙겼다.

연합뉴스

[그래픽] 랜섬웨어 제작·유포 범행 개요
(서울=연합뉴스) 김토일 기자 kmtoil@yna.co.kr



◇ 피해액 총 3억6천여만원…"범죄수익 몰수대상 아냐"

이들은 다른 해커의 랜섬웨어 공격을 당한 컴퓨터의 복구를 의뢰받을 경우 협상을 대신 해주겠다며 암호 해독에 필요한 몸값을 최대 10배로 부풀리기도 했다.

한 피해 업체를 공격한 해커의 요구 액수는 원래 0.8BTC였지만, 수리기사들은 이메일을 조작해 8BTC를 건네야 한다고 전한 것으로 드러났다. 차액 약 1억3천만원은 수리업체와 기사들이 나눠가졌다.

이들은 랜섬웨어 수리를 한다며 자신들의 랜섬웨어를 감염시키기도 했다. 또 접촉 불량이나 부팅 장애 등 단순 고장인데 몰래 서버 케이블을 뽑거나 하드디스크 분할을 눈속임한 뒤 랜섬웨어에 감염됐다며 수천만원을 복구비로 받아내기도했다.

랜섬웨어 유포를 포함해 수리기사들이 2019년 말부터 1년여에 걸쳐 거둔 범죄 수익은 총 3억6천여만원에 달한다. 하지만 경찰은 범죄 수익을 피해자들에게 돌려주거나 환수·추징할 수는 없었다고 했다.

경찰 관계자는 "일반적으로 강도 등 범죄의 경우 범인이 (범죄 수익을) 갖고 있다면 압수해 피해자에게 돌려줄 수 있지만, 이번 사건의 수리기사들은 받아낸 가상화폐를 (환전해) 다 써버린 상태"라고 설명했다.

이어 "범죄수익은닉규제법에서 규정한 범죄의 경우 추징이 가능하지만, 이들의 범죄는 법규상 몰수 보전의 대상이 아니다"라고 답했다.

연합뉴스

서울경찰청
[촬영 정유진]



◇ 경찰 "해커들 수사·추적 중…피해 즉시 신고해야"

경찰은 최근 랜섬웨어 공격이 눈에 띄게 늘며 피해자가 속출하고 있지만, 이들이 신고를 꺼린다고 전했다.

이번 사건의 피해 업체 40곳 가운데 경찰에 신고한 곳은 1개뿐이다. 나머지 39개 업체는 피해 사실을 몰랐거나 해커에게 몸값을 지불하는 등 각자 대응했다고 한다.

실제로 피해자 B씨는 인터넷 검색을 한 뒤 신고 대신 복구 업체를 찾았다.

B씨는 "수억원짜리 자료가 서버에 있다는 등 고객들의 항의전화가 많아 해커에게 돈을 보내야 한다고 생각했다"며 "한국인터넷진흥원 등에 문의도 해봤는데 답이 없다고 했다"고 말했다.

경찰 관계자는 "피해자가 랜섬웨어 몸값을 지불하면 해외 해커들에게 국내 기업이 '돈이 되는' 공격 대상이 될 가능성이 커지는 만큼 신속히 경찰에 신고해달라"고 당부했다.

경찰은 수리기사들이 운용한 랜섬웨어와 백도어 악성코드 24개를 모두 압수했으며 피해 업체들에 연락해 파일 복구를 지원하기도 했다고 설명했다.

xing@yna.co.kr



<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.