이병길 경찰청 사이버수사국 테러수사1대 1팀장. /사진=이기범 기자 leekb@
이 경감은 은행 컴퓨터에 누가 어디서 접속했는지 추적부터 나섰다. IP 주소 추적 등 디지털포렌식을 통해 위치를 확인하니 해커의 접속 위치가 매번 달랐다. 공통점은 단 하나. 카페 등 공용 와이파이 신호가 잡히는 곳이었다. 해커가 접속한 장소를 찾아 CC(폐쇄회로)TV를 조회하니 매번 똑같이 생긴 외국인이 앉아있었고, 결국 사건 발생 4일 만에 미국 국적의 외국인 A씨를 검거했다.
경찰은 돈이 없어 굶던 A씨와 식사도 같이하는 등 친밀도를 높였다. 수사협조를 해줘야 양형 참작 사유라도 여겨질 수 있다며 끝없이 설득에 나서자 결국 A씨는 비밀번호를 불었고 사건이 종결됐다. 형을 다 살고 나온 A씨는 현재 보안업계 회사를 운영 중이다.
이 경감은 "첫번째 랜섬웨어 사건인데다가 특이해서 기억에 남는다"며 "특히 이 사건을 기점으로 압수를 통해 확보한 자료가 암호화돼 확인이 당장 어려운 경우에 대한 대비책을 세우게 됐다"고 회상했다.
이병길 경찰청 사이버수사국 테러수사1대 1팀장 /사진=이기범 기자 leekb@
보이스피싱, 인터넷 거래사기, 사이버 명예훼손 등이 오프라인 범죄를 인터넷을 통해 실행한 범죄라면 테러수사대는 오로지 온라인 상에서만 이뤄지는, 정보통신망을 침해하는 범죄에 대한 수사를 전담한다.
이 경감은 "인터넷이 보급될 당시 해킹 범죄는 과시 목적이었다"며 "이제는 더욱 적극적으로 데이터를 인질삼아 금전을 요구하는 단계로, 정치적·사회적 이념 차이에서 발생하는 핵티비즘 범죄, 국가간 정보수집 등 다양한 형태로 나타난다"고 설명했다.
최근에는 익명성을 기반으로 하는 다크웹에서 서비스형 랜섬웨어(라스: RaaS)라는 범죄 인프라까지 등장했다. 이는 별도의 프로그래밍 전문지식이 없어도 비용만 지급하면 랜섬웨어 공격을 할 수 있도록 지급되는 랜섬웨어다. 라스를 지급받은 이가 랜섬웨어 공격을 성공하면 그 수익금을 제작자와 나누는 방식이다.
이 경감은 "다양한 국적의 범죄자들이 서로를 전혀 모르는 사이에서도 연계해 점조직 형태로 범행을 저지른다"며 "아무런 보안조치와 업데이트 없이 연결된 PC의 생존기간은 30분"이라고 밝혔다.
짧게는 하루, 길게는 2년…"오래 걸릴 수는 있어도 결국 다 잡힌다"실제로 해외 해커들을 추적하는 일은 쉽지 않다. 상황이 맞아떨어진다면 하루에도 신원을 파악할 수 있지만, 길게는 2년까지 바라봐야 한다. 해커들도 세탁용인 우회 IP를 수차례 설정하고, 신원 특정이 어려운 가상화폐 등을 사용하면서 추적을 피하기 위해 기를 쓰기 때문이다. 해외 거주하는 이들의 신병 인도 절차가 오래 걸리는 경우도 많다.
그러나 이들은 결국 잡힌다. IP주소를 세탁한다면 끝까지 추적하면 된다. 2008년 옥션을 해킹한 중국인 해커가 중국 현지에서 처벌되거나 2017년 이스트소프트 회원 16만명을 해킹한 중국인이 한국을 방문했다가 검거당하는 등 송환 없이도 처벌이 가능하다.
범죄 세탁용으로 흔히 쓰이는 가상화폐마저도 추적해 범죄자를 파악할 수 있다. 이 경감은 "자세한 사안은 알려주기 어렵지만 가상화폐 추적을 통해 개인가상화폐지갑, 위치, IP 등 파악이 가능하다"며 "범죄자는 범죄수익금을 실제 화폐로 거래하는 순간 덜미를 잡히게 되는데, 이때 수익금을 환수할 수 있다"고 설명했다.
그는 "사이버테러수사에 빨리 갈 수 있는 길은 없다"며 "이메일 헤드 조회, IP 조회 등 그때마다 다른 추적 방법을 사용해 끈질기게 수사하면 결국 범인과 만날 수 있다"고 말한다. 이어 "당연히 처벌가능하고, 부당하게 취득한 이익도 환수 가능하다"고 강조했다.