'경찰 출석통지' 랜섬웨어로 1,200만원 뜯은 '간 큰 20대'

국내 첫 랜섬웨어 유포자 검거
하루 20만건 발송…120명 피해






#무직인 유 모(20) 씨는 지난 2019년 ‘랜섬웨어’라는 악성 프로그램을 활용해 돈을 벌 수 있다는 사실을 알게 됐다. 랜섬웨어는 ‘몸값’을 뜻하는 영어 단어 랜섬과 소프트웨어의 합성어로 사용자 컴퓨터의 데이터를 암호화한 뒤 이를 풀어주는 대가로 돈을 요구하는 악성 코드다. 유 씨는 2019년 2월부터 6월까지 경찰 등 국가기관을 사칭한 인터넷 도메인 주소를 만든 뒤 ‘갠드크랩 랜섬웨어(랜섬웨어의 한 종류)’를 첨부해 포털 사용자의 e메일로 보냈다. 예를 들면 울산경찰청 홈페이지 주소(uspolice.go.kr)와 유사한 도메인(ulsanpolice.com)을 만들고 온라인 명예훼손 혐의로 경찰서에 출석해야 한다는 출석통지서와 함께 랜섬웨어를 보낸 것이다.


아무것도 모르는 피해자가 이를 클릭해 컴퓨터에 저장된 문서나 사진이 감염되면 복구 비용으로 1,300달러(약 148만 원)의 가상 통화를 요구했다. 유 씨가 이 같은 범행 수법으로 얻은 수익금은 1,200만 원에 이른다. 경찰청 사이버범죄수사과는 2019년 2월 이 사건을 처음 인지한 뒤 약 2년간 유 씨를 추적한 끝에 지난달 그를 검거·구속했다.


9일 경찰청에 따르면 유 씨는 국내에서 랜섬웨어를 유포해 돈을 뜯어낸 혐의(정보통신망법 위반 등)로 검거된 첫 피의자다. 최근 몇 년 전부터 랜섬웨어와 관련한 피해 신고가 경찰에 꾸준히 접수됐는데 끈질긴 추적 끝에 주요 피의자가 붙잡힌 것이다.


유 씨는 주로 국가기관을 사칭하는 문서와 함께 랜섬웨어를 첨부 파일로 보내 피해자들의 클릭을 유도한 것으로 드러났다. 그가 사칭한 국가기관을 종류별로 살펴보면 경찰관서 6,455회, 헌법재판소 8회, 한국은행 2회, 기타 21회 등이다.


유 씨의 범행으로 피해를 본 사람은 최소 120명 정도로 파악됐다. 피해자들이 컴퓨터 복구 비용을 공범인 갠드크랩 랜섬웨어 개발자에게 건네면 이후 브로커를 거쳐 7%가 유 씨에게 전달됐다. 유 씨는 범행 기간에 랜섬웨어를 하루 20만 건씩 발송했다고 경찰 조사에서 진술했다. 경찰청은 국제형사경찰기구(ICPO·인터폴)와 함께 갠드크랩 랜섬웨어를 개발한 용의자와 브로커를 추적 중이다.


랜섬웨어는 최근 다양한 방식으로 유포되고 있어 주의가 요구된다. 유 씨의 사례처럼 국가기관 사칭뿐 아니라 기업의 입사 지원 문서로 위장해 퍼지는 경우도 있다. 강기윤 국민의힘 의원실이 과학정보기술통신부에서 받은 자료에 따르면 랜섬웨어 피해 신고 건수는 2017년 25건에서 2020년 127건으로 3년 새 5배 이상 증가했다.


경찰청의 한 관계자는 “랜섬웨어에 감염되면 컴퓨터 복원이 어렵고 금전을 지불하더라도 복원이 보장되지 않는다”며 “의심되는 이메일을 받으면 안전이 확인될 때까지 첨부 파일을 절대로 클릭하지 않아야 한다”며 주의를 당부했다.


/한동훈 기자 hooni@sedaily.com

<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>