[베테랑]은행 해킹한 외국인…'카페 wi-fi' 썼다가 잡혔다

머니투데이 정한결 기자 2021.06.27 08:05
글자크기

편집자주 한 번 걸리면 끝까지 간다. 한국에서 한 해 검거되는 범죄 사건은 134만건(2019년 기준). 사라진 범죄자를 잡기 위해 물불 가리지 않는 이 시대의 진정한 경찰 베테랑을 만났다.

이병길 경찰청 사이버수사국 테러수사1대 1팀장. /사진=이기범 기자 leekb@이병길 경찰청 사이버수사국 테러수사1대 1팀장. /사진=이기범 기자 leekb@


#2008년 제 2금융권인 한 은행 전산망에 해커가 침입했다. 신고를 받고 출동한 경찰은 현장의 컴퓨터 바탕화면에서 일명 '랜섬노트'를 발견했다. 은행의 대출자 신원 등 관련 데이터를 전부 암호화했으니, 이를 해제하려면 20만달러(약 2억2500만원)를 지급하라는 해커의 전언이 담긴 파일이었다.



지금은 랜섬웨어가 창궐하지만 당시에는 그 단어조차 생소했다. 2001년부터 20년동안 사이버테러수사 외길을 밟아온 이병길 경감도 이때 처음으로 랜섬웨어 사건을 접했다. 랜섬웨어는 몸값(랜섬)과 소프트웨어의 합성어로, 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 인질 삼아 금전을 요구하는 악성 프로그램을 말한다.

이 경감은 은행 컴퓨터에 누가 어디서 접속했는지 추적부터 나섰다. IP 주소 추적 등 디지털포렌식을 통해 위치를 확인하니 해커의 접속 위치가 매번 달랐다. 공통점은 단 하나. 카페 등 공용 와이파이 신호가 잡히는 곳이었다. 해커가 접속한 장소를 찾아 CC(폐쇄회로)TV를 조회하니 매번 똑같이 생긴 외국인이 앉아있었고, 결국 사건 발생 4일 만에 미국 국적의 외국인 A씨를 검거했다.



'해킹·바이러스 유포·디도스 공격' 온라인 범죄 막는 테러수사대
그러나 사태는 손쉽게 끝나지 않았다. 경찰이 핵심 증거라고 판단한 A씨의 노트북이 암호화돼 조회가 불가했기 때문이다. A씨는 경찰에 암호를 건네지 않겠다고 버텼다. 한국인 여자친구를 따라 한국으로 왔던 A씨는 이별 이후 갈곳이 없어 정처없이 헤매고 있었다. 그러던 중 한 한국인이 의식주를 일부 지원하면서 해킹 등을 통해 돈을 벌어오라고 고용한 상황이었다.

경찰은 돈이 없어 굶던 A씨와 식사도 같이하는 등 친밀도를 높였다. 수사협조를 해줘야 양형 참작 사유라도 여겨질 수 있다며 끝없이 설득에 나서자 결국 A씨는 비밀번호를 불었고 사건이 종결됐다. 형을 다 살고 나온 A씨는 현재 보안업계 회사를 운영 중이다.

이 경감은 "첫번째 랜섬웨어 사건인데다가 특이해서 기억에 남는다"며 "특히 이 사건을 기점으로 압수를 통해 확보한 자료가 암호화돼 확인이 당장 어려운 경우에 대한 대비책을 세우게 됐다"고 회상했다.


이병길 경찰청 사이버수사국 테러수사1대 1팀장 /사진=이기범 기자 leekb@이병길 경찰청 사이버수사국 테러수사1대 1팀장 /사진=이기범 기자 leekb@
이 경감이 소속된 경찰청 사이버수사국 테러수사대는 해킹, 컴퓨터 바이러스 유포. 디도스(분산서비스 거부) 공격 등 인터넷과 함께 새롭게 등장한 범죄를 수사한다. 형사소송법 개정에 따라 현재 한국에서 유일하게 테러수사대가 사이버테러 수사권한을 가지고 있다.

보이스피싱, 인터넷 거래사기, 사이버 명예훼손 등이 오프라인 범죄를 인터넷을 통해 실행한 범죄라면 테러수사대는 오로지 온라인 상에서만 이뤄지는, 정보통신망을 침해하는 범죄에 대한 수사를 전담한다.

이 경감은 "인터넷이 보급될 당시 해킹 범죄는 과시 목적이었다"며 "이제는 더욱 적극적으로 데이터를 인질삼아 금전을 요구하는 단계로, 정치적·사회적 이념 차이에서 발생하는 핵티비즘 범죄, 국가간 정보수집 등 다양한 형태로 나타난다"고 설명했다.

최근에는 익명성을 기반으로 하는 다크웹에서 서비스형 랜섬웨어(라스: RaaS)라는 범죄 인프라까지 등장했다. 이는 별도의 프로그래밍 전문지식이 없어도 비용만 지급하면 랜섬웨어 공격을 할 수 있도록 지급되는 랜섬웨어다. 라스를 지급받은 이가 랜섬웨어 공격을 성공하면 그 수익금을 제작자와 나누는 방식이다.

이 경감은 "다양한 국적의 범죄자들이 서로를 전혀 모르는 사이에서도 연계해 점조직 형태로 범행을 저지른다"며 "아무런 보안조치와 업데이트 없이 연결된 PC의 생존기간은 30분"이라고 밝혔다.

짧게는 하루, 길게는 2년…"오래 걸릴 수는 있어도 결국 다 잡힌다"
실제로 해외 해커들을 추적하는 일은 쉽지 않다. 상황이 맞아떨어진다면 하루에도 신원을 파악할 수 있지만, 길게는 2년까지 바라봐야 한다. 해커들도 세탁용인 우회 IP를 수차례 설정하고, 신원 특정이 어려운 가상화폐 등을 사용하면서 추적을 피하기 위해 기를 쓰기 때문이다. 해외 거주하는 이들의 신병 인도 절차가 오래 걸리는 경우도 많다.

그러나 이들은 결국 잡힌다. IP주소를 세탁한다면 끝까지 추적하면 된다. 2008년 옥션을 해킹한 중국인 해커가 중국 현지에서 처벌되거나 2017년 이스트소프트 회원 16만명을 해킹한 중국인이 한국을 방문했다가 검거당하는 등 송환 없이도 처벌이 가능하다.

범죄 세탁용으로 흔히 쓰이는 가상화폐마저도 추적해 범죄자를 파악할 수 있다. 이 경감은 "자세한 사안은 알려주기 어렵지만 가상화폐 추적을 통해 개인가상화폐지갑, 위치, IP 등 파악이 가능하다"며 "범죄자는 범죄수익금을 실제 화폐로 거래하는 순간 덜미를 잡히게 되는데, 이때 수익금을 환수할 수 있다"고 설명했다.

그는 "사이버테러수사에 빨리 갈 수 있는 길은 없다"며 "이메일 헤드 조회, IP 조회 등 그때마다 다른 추적 방법을 사용해 끈질기게 수사하면 결국 범인과 만날 수 있다"고 말한다. 이어 "당연히 처벌가능하고, 부당하게 취득한 이익도 환수 가능하다"고 강조했다.
TOP