매일 랜섬웨어 첨부메일 20만 건 유포
범죄수익금 1200만원 챙겨…최소 120명 피해
경찰·한은 6400회 넘게 사칭…랜섬웨어 유포자 구속

경찰서, 헌법재판소, 한국은행 등을 총 6400회 넘게 사칭하며 랜섬웨어를 유포한 피의자 A씨가 경찰에 붙잡혔다.

경찰청 사이버수사국은 경찰관서, 헌법재판소, 한국은행 등을 사칭하며 ‘갠드크랩 랜섬웨어’를 유포해 약 1200만원을 챙긴 A씨를 지난달 25일 구속했다고 9일 밝혔다. 갠드크랩 랜섬웨어는 시스템을 잠그거나 데이터를 암호화한 뒤 금전을 요구하는 악성 프로그램의 한 종류다.

경찰에 따르면 A씨는 2019년 2~6월 공범으로부터 랜섬웨어를 받아 포털사이트 이용자 등에게 사칭 기관의 ‘출석통지서’로 위장한 갠드크랩 랜섬웨어를 총 6486회 이메일로 발송했다. 경찰관서를 사칭한 사례가 6455회로 가장 많았다. 예컨대 울산지방경찰청 명의로 ‘온라인 명예훼손 관련 출석통지서’라는 제목의 이메일을 보내는 식이다. 첨부한 파일에 서명을 기재한 뒤 제출하지 않으면 불이익을 얻을 수 있다는 내용도 담았다. 헌법재판소(8회), 한국은행(2회), 개인 등 기타(21회)를 사칭하기도 했다.

랜섬웨어 피해는 랜섬웨어가 첨부된 악성 이메일을 받은 피해자가 해당 첨부파일을 눌러 다운로드 또는 실행을 하는 순간 발생한다. 랜섬웨어에 감염되면 문서나 사진 등의 파일이 암호화된다. A씨는 피해자에게 복원 비용으로 1300달러(약 148만원) 상당의 가상화폐를 요구한 것으로 조사됐다.

피해자가 복원비용을 내면 랜섬웨어 개발자가 수령하고, 브로커를 거쳐 유포자에게 약 7%가 전달됐다고 경찰 측은 설명했다. A씨의 범죄 수익금은 약 1200만원으로 파악됐다. 경찰은 최소 120명이 랜섬웨어 감염 피해를 입은 것으로 추산했다. 경찰 관계자는 “A씨는 범행 기간에 매일 20만 건씩 랜섬웨어 2종을 발송했다고 진술했다”고 말했다.

A씨는 여러 국가를 거쳐 IP 주소를 세탁하고 범죄 수익금은 가상화폐로 지불받으면서 수사기관의 추적을 피해다닌 것으로 전해졌다. 경찰은 약 2년간 10개국과 국제 공조수사를 진행해 피의자를 특정했다. 이 과정에서 약 3000만 건의 가상화폐 입·출금 흐름과 2만7000여 개의 통신기록을 분석했다는 설명이다.

경찰은 A씨의 공범이자 해당 랜섬웨어를 개발한 용의자를 인터폴과 함께 추적 중이다. 경찰 관계자는 “의심되는 이메일을 수신하면 안전이 확인될 때까지 첨부파일을 클릭하지 않도록 주의해야 한다”며 “랜섬웨어에 감염되면 복원이 매우 어렵고 금전을 지불해도 복원이 보장되지 않는다”고 했다.

경찰청은 이번 사건을 계기로 한국인터넷진흥원 등과 협력해 랜섬웨어를 비롯 악성 프로그램에 엄정 대응하기로 했다. 가상화폐 추적, 국제공조 등을 동원해 랜섬웨어 유포자를 검거하기 위한 수사를 확대한다는 방침이다.

정지은 기자 jeong@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지