전산 관리 업체 대표 김모씨는 지난해 5월 자사 서버가 통째로 랜섬웨어에 감염된 후 해커의 협박을 받은 적이 있다. 해커가 요구한 복구비는 1비트코인(BTC)이었다. 다급히 컴퓨터 수리업체를 찾은 그에게 수리기사는 해커와 협상해 복구비를 낮추고, 서버 관련 폴더도 복구하도록 해주겠다고 했다. 결국 수리기사를 통해 당시 1BTC에 해당하는 1700여만원을 해커에게 보낸 후 서버 관련 폴더를 복구했다.
김씨는 복구비를 깎진 못했지만 관련 폴더가 복구된 것을 다행이라 여겼다. 하지만 이후 폴더 안 파일들이 말썽을 부렸다. 다시 수리기사를 찾아 2차 복구비로 800여만원을 내야만 했다. 1년여 뒤 경찰의 전화를 받은 김씨는 그제서야 수리기사에게 속은 사실을 알게 됐다. 알고 보니 수리기사가 1BTC 중 0.4BTC를 챙기고 나머지만 해커에게 보냈을 뿐만 아니라 멀쩡한 파일들까지 랜섬웨어에 감염시켰던 것이다.
서울경찰청 사이버수사과는 수리를 의뢰받은 PC에 자체 개발한 랜섬웨어를 심어 복구비를 가로챈 혐의(악성 프로그램 유포 등)로 컴퓨터 수리업체 직원 2명을 구속하고, 다른 7명을 불구속 입건했다고 16일 밝혔다. 이들은 2019년 12월부터 올해 3월까지 이런 수법으로 김씨 등 40명으로부터 모두 3억6200만원을 가로챈 혐의를 받고 있다.
경찰에 따르면 이들은 한글, PDF 등 파일을 ‘.enc’ 확장자로 암호화하는 랜섬웨어를 자체 개발한 뒤 성능 저하 문제로 출장 수리를 의뢰받은 PC에 ‘원격침입 악성코드’를 심었다. 이후 고객의 눈을 피해 파일, 사이트 접속 기록 등을 염탐했는데 음란사이트 기록이나 중요한 파일이 있는 경우가 주로 범행 대상이 됐다. 이들은 통상 일주일 안에 원격 조정으로 랜섬웨어를 실행했다. 당황한 피해자들이 재차 수리를 의뢰하면 ‘해커의 범행’이라고 속인 뒤 복구비를 취득하고 잠금을 풀어줬다.
일당은 랜섬웨어 공격을 당해 수리를 의뢰한 업체를 상대로 실제 복구비보다 10배나 부풀린 금액을 요구하기도 했다. 김씨에게 한 것처럼 해커와 직접 협상해 “흥정 해주겠다”며 피해자를 안심시킨 뒤 이메일을 조작했다. 어떤 경우엔 해커가 랜섬웨어 해제 비용으로 0.8BTC를 요구했음에도 8BTC를 청구한 적도 있었다. 피해자가 다급한 태도를 보일수록 복구비는 더욱 부풀려졌다. 해커가 지정한 암호화폐 지갑 대신 자신의 지갑에 비트코인을 받아 챙겼다.
경찰은 지난해 12월 랜섬웨어 공격을 받은 한 업체의 신고로 해커의 흔적을 쫓던 중 이들의 범행을 포착하고 피해자들을 파악해왔다. 해외 해커의 소행인 경우가 잦은 랜섬웨어 범죄에서 국내 컴퓨터 수리기사들이 직접 만든 랜섬웨어를 유포·감염시킨 사실상 첫 사례라는 게 경찰의 설명이다. 경찰 관계자는 “피해자 대다수가 수리기사들이 저지른 범행이라는 점을 모르고 있었다”며 “랜섬웨어 공격을 당했을 때는 협상보다 즉시 신고해달라”고 당부했다.
박장군 기자 general@kmib.co.kr