사태를 해결해 줄 것으로 믿었던 수리업체는 '협상에 실패해 1BTC에 해당하는 1700여만원이 필요하다'고 했고, 이 금액이 지불된 뒤 발생한 2차 랜섬웨어 감염에 대해 '또 다른 해커의 공격으로 800여만원이 필요하다'고 요구했다.
© News1 DB피의자들은 전국에 50여명의 기사를 둔 수리업체 소속으로 2019년 12월부터 지난 3월까지 수리를 의뢰한 고객들의 컴퓨터에 자체 제작 랜섬웨어를 설치하거나, 실제 랜섬웨어 공격을 당한 기업에 복구비를 부풀려 받아내 약 3억6200만원을 가로챈 것으로 나타났다.
피해자는 총 40곳(업체 38곳·개인 2명)에 달한다. 이들은 인터넷 포털 사이트에 데이터 복구·수리 업체를 검색했던 것으로 전해졌다. 경찰은 이번 주 중 피의자들을 검찰에 송치할 예정이다.
이 시각 인기 뉴스
경찰에 따르면 피의자들은 2019년 말부터 복구비 부당 편취를 해오던 중 랜섬웨어 복구작업이 큰 수익을 낸다는 점에 주목했다. 지난해 12월 말 파일을 '.enc' 확장자로 암호화하는 랜섬웨어를 자체 제작하고, 원격제어 악성 프로그램을 이용해 고객 컴퓨터를 감염시키기로 공모했다.
지난 1~2월에는 고객이 자리를 비우거나 한눈을 판 사이 자체 제작 랜섬웨어와 원격제어 프로그램을 컴퓨터에 설치했다. 원격제어 프로그램으로 고객들의 사생활을 염탐해 범행시기를 결정한 뒤 랜섬웨어를 실행해 파일을 암호화하는 방식이다. 복구를 의뢰한 피해업체들에는 해커 소행이라고 속여 4개 업체로부터 3260만원을 취득했다.
실제 랜섬웨어 공격을 당해 복구를 의뢰한 업체들에는 복구비를 부풀려 약 3억3000만원의 이익을 취했다.
우선 피해자가 알지 못하게 해커와의 협상을 단독 수행한 뒤 협상 내용을 조작해 17개 업체로부터 2억5300만원을 편취했다. 한 업체에는 해커가 실제 요구한 0.8BTC를 10배 부풀린 8BTC를 요구했다고 이메일을 조작해 약 1억3000만원을 부당 취득했다.
또 랜섬웨어 복구를 위해 입고된 고객 컴퓨터에 랜섬웨어를 추가 감염시킨 뒤 해커 소행이라 속이고 3개 업체로부터 추가 복구비 4000만원을 편취했다. 이밖에 접촉 불량, 부팅 장애 등 일반적인 고장을 랜섬웨어 감염이라 속이고 4개 업체로부터 복구비 3700만원을 받기도 했다.
경찰은 지난해 12월 실제 해커의 랜섬웨어 공격을 당한 업체의 피해신고를 접수해 수사하던 중 피의자들의 범행을 포착해 수사에 나섰고, 자체 제작 랜섬웨어를 이용한 범행이 본격화하기 전 일당을 검거했다.
경찰은 범행에 사용된 랜섬웨어 및 원격조종 악성코드 24개를 압수했으며, 사안의 중대성을 고려해 범죄이익을 공유한 법인에 대해서도 양벌규정을 적용했다. 업체 대표이사도 조사 대상에 올랐으나 혐의가 확인되지 않아 불입건됐다.
다만 피해자들은 금전적 보상을 받을 수 없을 전망이다. 랜섬웨어 범죄수익은 범죄수익은닉규제법상 몰수·추징 대상에 해당하지 않기 때문이다. 피의자들은 가상화폐를 모두 현금화해 나눠가졌으며 생활비 등으로 소진한 것으로 전해졌다.
이번 사건과 관련해 경찰 관계자는 "외국인이 아닌 내국인에 의한 랜섬웨어 유포 건은 많지 않은 것으로 안다"며 "원격 조종으로 진화한 방식의 첫 사례"라고 말했다.
이어 "PC 보안에 각별한 주의를 기울일 필요가 있다"며 "랜섬웨어 몸값을 지불하는 경우 국내기업이 해커의 지속적인 공격대상이 될 수 있는 만큼 협상보다 랜섬웨어 공격을 당한 즉시 신속히 경찰에 신고해주실 것을 당부드린다"고 했다.
<저작권자 © 뉴스1코리아, 무단전재 및 재배포 금지>
