'클롭 랜섬웨어' 유포해 비트코인 갈취…국제 범죄조직 자금세탁 총책 입건

국내 대학·기업 4곳 유포
한·미·우크라이나 3개국+인터폴 공조수사
우크라이나 국적 총책 등 4명 입건

클롭 랜섬웨어 범죄 개요도.[자료제공=경찰청]

[아시아경제 이관주 기자] 컴퓨터 시스템 파일의 확장자를 '클롭(clop)'으로 변경해 마비시킨 뒤 이를 인질로 삼아 금전을 요구하는 '클롭 랜섬웨어'를 유포한 국제 범죄조직의 자금세탁 총책 등이 한국과 미국, 우크라이나, 국제형사경찰기구(ICPO·인터폴)의 공조수사 끝에 특정됐다.

경찰청 국가수사본부 사이버수사국은 국내 대학·기업 등에 클롭 랜섬웨어를 유포하고 금품을 갈취한 국제 랜섬웨어 범죄조직 자금세탁 총책 등 4명을 정보통신망법·범죄수익은닉규제법 위반, 공갈 등 혐의로 입건했다고 15일 밝혔다.

이들은 2019년 2월 국내 대학과 기업 4곳을 대상으로 클롭 랜섬웨어를 유포해 학사운영, 제조유통, 설비설계 등 정보자산이 보관·운영되던 주요 시스템 720대를 암호화해 장애를 발생시킨 뒤 이를 풀어주는 대가로 65비트코인(4억1000만원, 현 시세 45억원)을 뜯어낸 혐의를 받고 있다.

이들은 사전에 보안 수준이 상대적으로 취약한 대학·중소업체에 대해 정보를 수집한 뒤 관리자에게 업무로 위장된 표적형 악성 이메일을 발송해 열어보게 하는 방법으로 내부 전산망에 침입했다. 이후 소프트웨어 보안 취약점 등을 이용해 중앙관리시스템을 장악하고 클롭 랜섬웨어를 감염시켜 가상자산을 요구한 것으로 드러났다.

사건 발생 직후 한국 경찰은 유포된 악성프로그램, 침투·원격제어용 공격 도구, 전산망 침입 수법 등 분석을 통해 획득한 추적 단서(이메일, 제어·유포 서버)에 대해 총 20개국을 상대로 80여회에 걸쳐 국제공조를 진행했다. 특히 클롭 랜섬웨어가 전 세계로 퍼지고 있는 것을 확인해 인터폴과 함께 18개국 법집행기관이 참여하는 '사이클론 작전'을 추진했다.

우크라이나 현지에서 피의자 압수수색에 나선 합동수사팀.[사진제공=경찰청]

2년여간의 추적 끝에 한국 경찰은 피해 업체에서 지급한 가상자산을 역추적하는 방식으로 이를 최종적으로 수신한 외국 국적 피의자 9명을 특정해냈다. 올해 2월 한국 경찰과 우크라이나 경찰은 우크라이나 국적 피의자 3명에 대한 소재를 확인한 뒤 6월부터 합동수사에 착수했다. 이 합동수사에는 한국과 우크라이나, 미국 등 3개국 80여명의 수사관이 참여해 한국 경찰이 특정한 피의자 3명과 우크라이나 경찰이 자체 확인한 관련자 3명의 주거지 등 21개소를 압수수색하고 6명을 검거했다.

한국 경찰은 해커들과 공모해 자금세탁을 한 혐의가 확인된 우크라이나 국적 조직원 3명과 압수한 증거분석 등을 통해 추가로 특정된 다른 국적 조직원 1명을 범죄수익은닉규제법 위반 등 혐의로 입건하고, 이 가운데 자금세탁 총책 피의자 2명에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.

경찰은 오는 18일부터 22일까지 진행되는 '2021 국제 사이버범죄 대응 심포지엄'에서 수사 결과를 발표하고, 인터폴·유로폴 등 국제 경찰기구 및 전 세계 법집행기관과 공유할 예정이다.

경찰청 관계자는 "이번 사건은 해외에서 해당 국가와의 합동수사로 자금세탁 피의자를 검거한 첫 번째 사례로 그 의미가 매우 크다"면서 "자금세탁에 가담한 나머지 피의자들에 대해서도 지속적 국제공조를 통해 혐의를 명확히 확인하고, 나아가 자금세탁을 의뢰하고 실제 클롭 랜섬웨어를 제작·유포한 해커들에 대해서도 실체가 규명될 때까지 수사를 이어나가겠다"고 강조했다.

이관주 기자 leekj5@asiae.co.kr