지금은 랜섬웨어가 창궐하지만 당시에는 그 단어조차 생소했다. 2001년부터 20년동안 사이버테러수사 외길을 밟아온 이병길 경감도 이때 처음으로 랜섬웨어 사건을 접했다. 랜섬웨어는 몸값(랜섬)과 소프트웨어의 합성어로, 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 인질 삼아 금전을 요구하는 악성 프로그램을 말한다.
이 경감은 은행 컴퓨터에 누가 어디서 접속했는지 추적부터 나섰다. IP 주소 추적 등 디지털포렌식을 통해 위치를 확인하니 해커의 접속 위치가 매번 달랐다. 공통점은 단 하나. 카페 등 공용 와이파이 신호가 잡히는 곳이었다. 해커가 접속한 장소를 찾아 CC(폐쇄회로)TV를 조회하니 매번 똑같이 생긴 외국인이 앉아있었고, 결국 사건 발생 4일 만에 미국 국적의 외국인 A씨를 검거했다.
━
'해킹·바이러스 유포·디도스 공격' 온라인 범죄 막는 테러수사대━
경찰은 돈이 없어 굶던 A씨와 식사도 같이하는 등 친밀도를 높였다. 수사협조를 해줘야 양형 참작 사유라도 여겨질 수 있다며 끝없이 설득에 나서자 결국 A씨는 비밀번호를 불었고 사건이 종결됐다. 형을 다 살고 나온 A씨는 현재 보안업계 회사를 운영 중이다.
이 경감은 "첫번째 랜섬웨어 사건인데다가 특이해서 기억에 남는다"며 "특히 이 사건을 기점으로 압수를 통해 확보한 자료가 암호화돼 확인이 당장 어려운 경우에 대한 대비책을 세우게 됐다"고 회상했다.
보이스피싱, 인터넷 거래사기, 사이버 명예훼손 등이 오프라인 범죄를 인터넷을 통해 실행한 범죄라면 테러수사대는 오로지 온라인 상에서만 이뤄지는, 정보통신망을 침해하는 범죄에 대한 수사를 전담한다.
이 경감은 "인터넷이 보급될 당시 해킹 범죄는 과시 목적이었다"며 "이제는 더욱 적극적으로 데이터를 인질삼아 금전을 요구하는 단계로, 정치적·사회적 이념 차이에서 발생하는 핵티비즘 범죄, 국가간 정보수집 등 다양한 형태로 나타난다"고 설명했다.
최근에는 익명성을 기반으로 하는 다크웹에서 서비스형 랜섬웨어(라스: RaaS)라는 범죄 인프라까지 등장했다. 이는 별도의 프로그래밍 전문지식이 없어도 비용만 지급하면 랜섬웨어 공격을 할 수 있도록 지급되는 랜섬웨어다. 라스를 지급받은 이가 랜섬웨어 공격을 성공하면 그 수익금을 제작자와 나누는 방식이다.
이 경감은 "다양한 국적의 범죄자들이 서로를 전혀 모르는 사이에서도 연계해 점조직 형태로 범행을 저지른다"며 "아무런 보안조치와 업데이트 없이 연결된 PC의 생존기간은 30분"이라고 밝혔다.
━
짧게는 하루, 길게는 2년…"오래 걸릴 수는 있어도 결국 다 잡힌다"━
그러나 이들은 결국 잡힌다. IP주소를 세탁한다면 끝까지 추적하면 된다. 2008년 옥션을 해킹한 중국인 해커가 중국 현지에서 처벌되거나 2017년 이스트소프트 회원 16만명을 해킹한 중국인이 한국을 방문했다가 검거당하는 등 송환 없이도 처벌이 가능하다.
범죄 세탁용으로 흔히 쓰이는 가상화폐마저도 추적해 범죄자를 파악할 수 있다. 이 경감은 "자세한 사안은 알려주기 어렵지만 가상화폐 추적을 통해 개인가상화폐지갑, 위치, IP 등 파악이 가능하다"며 "범죄자는 범죄수익금을 실제 화폐로 거래하는 순간 덜미를 잡히게 되는데, 이때 수익금을 환수할 수 있다"고 설명했다.
그는 "사이버테러수사에 빨리 갈 수 있는 길은 없다"며 "이메일 헤드 조회, IP 조회 등 그때마다 다른 추적 방법을 사용해 끈질기게 수사하면 결국 범인과 만날 수 있다"고 말한다. 이어 "당연히 처벌가능하고, 부당하게 취득한 이익도 환수 가능하다"고 강조했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]