'경찰 출석통지서' 사칭 랜섬웨어 6400회 유포한 20대 구속

경찰 출석통지서를 사칭한 갠드크랩 랜섬웨어가 담긴 이메일./경찰청 제공

[아시아경제 이관주 기자] 경찰 등 공공기관을 사칭해 '갠드크랩 랜섬웨어'를 유포해 돈을 뜯어낸 20대가 경찰에 적발됐다.

경찰청 국가수사본부 사이버수사국은 정모통신망법 위반 등 혐의로 유모(20)씨를 구속했다고 9일 밝혔다.

랜섬웨어는 몸값을 뜻하는 '랜섬(Ransom)'과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤 금전을 요구하는 악성 프로그램을 말한다. 갠드크랩(Gandcrab)은 랜섬웨어의 한 종류로 2018년부터 2019년 5월까지 전세계적으로 유포됐다.

유씨는 경찰관서 등으로 속이기 위해 인터넷 도메인 주소 95개를 준비하고 2019년 2월부터 6월까지 공범으로부터 랜섬웨어를 받아 '출석통지서'로 위장한 갠드크랩 랜섬웨어를 6486회에 걸쳐 이메일로 발송한 혐의를 받고 있다. 유씨가 사칭한 국가기관은 경찰관서가 6455회, 헌법재판소 8회, 한국은행 2회 등이다.

유씨는 이렇게 보낸 랜섬웨어에 특정인이 감염되면 문서·사진 등의 파일을 암호화하고 복원비용으로 1300달러 상당 가상통화의 전송을 요구하는 수법으로 범행했다. 피해자가 복원비용을 지불하면 랜섬웨어 개발자가 수령해 브로커를 거쳐 유포자에게 범죄수익의 7%가 순차적으로 전달됐다. 유씨는 이런 수법으로 최소 120명을 감염시켜 약 1200만원의 범죄수익금을 거둔 것으로 경찰은 파악했다.

유씨는 여러 국가를 거쳐 IP주소를 세탁하고, 범죄수익금은 가상통화로 받는 등 치밀하게 수사기관의 추적을 회피했으나 경찰의 끈질긴 추적에 결국 덜미를 잡혔다. 경찰은 2년여간 10개국과 국제 공조수사를 진행하며 3000만건의 가상통화 입출금 흐름과 2만7000개의 통신기록을 분석했다. 이를 통해 사칭용으로 유씨가 구매한 인터넷 도메인 주소와 이메일을 압수하는데 성공했고, 유씨를 특정할 수 있었다. 경찰은 해당 랜섬웨어를 개발한 공범을 국제형사경찰기구(ICPO·인터폴)와 함께 추적하고 있다.

경찰은 "의심되는 이메일을 수신하면, 안전이 확인될때까지 첨부파일을 절대로 클릭하지 않도록 주의하고 피해 예방 수칙을 준수해달라"고 당부했다.

이관주 기자 leekj5@asiae.co.kr