랜섬웨어 '갠드크랩' 유포자가 경찰에 덜미를 잡혔다. 유포자에게 랜섬웨어를 건네준 공범도 현재 경찰 추적을 받고 있다.
경찰청 사이버수사국은 경찰관서, 헌법재판소, 한국은행 등을 사칭해 갠드크랩 랜섬웨어를 유포한 피의자를 검거해 지난달 25일 구속했다고 9일 밝혔다.
경찰 조사에 따르면 피의자는 경찰관서 등으로 속이기 위해 인터넷 도메인 주소 95개를 준비했다. 2019년 2월~6월 공범으로부터 랜섬웨어를 건네받아 포털사이트 이용자 등에게 '출석통지서'로 위장한 갠드크랩 랜섬웨어를 6486회 이메일로 발송했다.
랜섬웨어에 감염되면 문서·사진 등 파일을 암호화한 뒤 복원 대가로 1300달러(약 150만원) 규모 암호화폐 전송을 요구했다. 피해자가 복원 대가를 지불하면 랜섬웨어 개발자가 수령, 브로커를 거쳐 유포자에게 7%를 순차 전달했다.
피의자 범죄수익금은 약 1200만원으로 확인됐다. 경찰은 최소 120명이 감염됐을 것으로 추산하고 있다.
피의자는 여러 국가를 거쳐 인터넷주소(IP)를 세탁하고 범죄수익금은 암호화폐로 지불받는 등 수사기관 추적을 회피했지만 경찰은 약 2년간 10개국과 국제 공조 수사를 진행, 약 3000만건 암호화폐 입·출금 흐름과 2만7000개 통신 기록을 분석했다.
이후 사칭용으로 구매한 인터넷 도메인 주소 95개를 확인하고 이메일 6486개를 압수한 뒤 국내에서 랜섬웨어를 유포한 피의자를 특정, 검거했다. 경찰 조사에서 피의자는 갠드크랩 랜섬웨어뿐만 아니라 '소디노키비' 랜섬웨어를 범행 기간 매일 20만건 발송했다고 진술했다. 경찰은 랜섬웨어를 개발한 용의자를 현재 인터폴과 함께 추적하고 있다.
앞서 경찰청 사이버범죄수사과(테러수사1대)는 2019년 2월 12일 경찰기관을 사칭한 랜섬웨어가 유포 중인 사건을 인지하고 수사에 착수했다. 이와 동시에 한국인터넷진흥원(KISA)과 포털사 수신차단을 긴급 조치하고 피해 주의를 당부했다. 피의자가 경찰관서를 사칭한 횟수는 총 6486회 가운데 6455회에 달한 것으로 나타났다.
경찰청 관계자는 “이번 사건을 계기로 KISA를 비롯한 해외 수사기관과 협력해 랜섬웨어 등 악성 프로그램에 더욱 엄정하게 대응할 계획”이라면서 “암호화폐 추적과 국제공조 등 모든 역량을 동원해 랜섬웨어 유포자 검거를 위해 수사를 확대할 방침”이라고 말했다.
경찰은 의심스러운 이메일을 수신하면 안전성이 확인될 때까지 첨부파일을 절대 클릭하지 않도록 주의하고 KISA에서 권고하는 '랜섬웨어 피해 예방 5대 수칙'을 지켜야 한다고 강조했다. 모든 소프트웨어(SW)는 최신 버전으로 업데이트해 이용할 것, 백신 SW를 설치하고 최신 버전으로 업데이트할 것, 출처가 불분명한 이메일과 인터넷주소 링크는 실행하지 말 것, 파일 공유 사이트 등에서 다운로드와 실행에 주의할 것, 중요 자료는 정기적으로 백업할 것 등이 포함된다.
오다인기자 ohdain@etnews.com
