해커조직과 사전 결탁해 피해자들로부터 랜섬웨어 감염 복구 명목으로 거액을 뜯어낸 데이터복구업체 대표 등이 구속 상태로 재판에 넘겨졌다. 이들이 이체한 가상화폐는 북한 정찰총국 산하 해커 조직 ‘라자루스’에 흘러들어간 것으로 확인됐다. 수사 당국은 사실상 북한 해커 조직이 랜섬웨어를 유포한 것으로 보고 구체적인 범행 경위 및 북한으로 흘러들어간 돈 규모 등을 추가 수사 중이다.
서울중앙지검 정보기술범죄수사부(부장검사 이춘)는 데이터복구업체 대표 박모(34)씨와 직원 이모(34)씨를 지난 14일 공갈 혐의로 구속 기소했다고 20일 밝혔다.
해커조직과 데이터복구업체가 원격으로 각자의 역할을 분담하며 랜섬웨어 유포를 통해 공갈죄를 공모한 사건이 기소된 건 처음이다.
박씨 등은 2018년 10월 15일부터 지난해 7월 26일까지 해커조직과 공모해 ‘매그니베르’라는 랜섬웨어를 불특정 다수 피해자들의 컴퓨터에 침투시킨 뒤 데이터 복구 명목으로 730회에 걸쳐 26억6489만원을 받아 챙긴 혐의를 받는다. 1회 복구당 약 360여만원씩 뜯어낸 것이다.
매그니베르는 한국어 운영체제 등을 사용하는 국내 이용자를 주로 감염시키는 랜섬웨어다. 랜섬웨어에 감염되면 파일이 암호화돼 컴퓨터를 사용할 수 없게 된다. 해커조직은 이를 풀어주는 대가로 ‘몸값’을 요구한다.
매그니베르에 감염된 파일은 확장자가 5~10 자리 알파벳 소문자 문자열로 변경된다. 경찰청은 2020년부터 관련 첩보를 입수하고 수사를 진행해왔다. 경찰 조사 결과 해당 업체는 해커와 사전에 텔레그램 등을 통해 랜섬웨어를 풀 수 있는 ‘키’를 전달받았다고 한다.
박씨 등은 랜섬웨어 피해자들이 감염 파일 확장자를 키워드로 인터넷 검색을 하는 점을 이용해 광고 및 블로그 광고에 파일명 확장자를 키워드 등록해 피해자들을 유인했다. 박씨 등은 피해자들로부터 해커조직에 전달할 몸값과 동일한 돈을 서비스 수수료로 받아 챙긴 것으로 조사됐다.
검찰은 경찰과 공조해 북한 해커조직이 범행에 얼마나 관여했는지 등 관련 수사를 이어갈 계획이다.
신지호 기자 pss@kmib.co.kr
GoodNews paper Ϻ(www.kmib.co.kr), , , AIн ̿
