북한 해커들과 사전에 모의해 악성 프로그램인 랜섬웨어를 유포한 뒤, 이를 풀 수 있는 암호 정보를 포털사이트에 광고하는 수법으로 피해자들에게서 34억원을 챙긴 데이터 복구업자들이 경찰에 붙잡혔다. 이 해커들은 북한의 대남(對南) 공작을 총괄하는 정찰총국 산하 해커 조직 ‘라자루스’로 추정된다고 경찰은 밝혔다.
경찰청 안보수사대는 2018년 10월부터 지난해 9월까지 4년에 걸쳐 컴퓨터가 랜섬웨어에 감염된 피해자 778명에게서 복구 비용으로 34억원을 챙긴 데이터 복구 대행 업체 A사 대표와 직원 등 5명을 정보통신망법 위반과 공갈 방조 혐의로 검찰에 넘겼다고 27일 밝혔다. 랜섬웨어는 인질의 몸값을 뜻하는 랜섬과 악성코드(멀웨어·malware)를 합성한 말이다. 해커들은 악성코드를 컴퓨터에 침입시켜 중요한 파일을 암호화한 뒤 이를 풀어주는 대가로 돈을 뜯어내고 있다.
경찰에 따르면 A사는 다른 회사가 해결하지 못하는 암호를 풀 수 있는 업체라고 포털사이트에 광고했다. 특히 특정 랜섬웨어로 인해 생긴 컴퓨터 문제를 해결할 수 있다는 취지로 ‘키워드 광고’를 했다. 키워드 광고는 포털 사이트에 특정 단어를 검색한 사람들을 대상으로 광고주 사이트가 노출되도록 하는 기법이다.
하지만 경찰 조사 결과 이 랜섬웨어 유포는 북한 해커 집단이 주도한 것이었다. A사는 사전에 북한 해커들과 모의해 랜섬웨어를 풀 수 있는 일종의 매뉴얼을 미리 받았다고 한다. 경찰은 A사 사무실 등을 압수수색한 결과, 북한 해커와 공모한 대화 내용이 담긴 텔레그램, 이메일을 확보한 것으로 전해졌다. 경찰이 확보한 A사 직원들의 SNS 대화 내용을 보면, A사는 이 해커들이 라자루스 조직원임을 사전에 인지하고 함께 범행을 모의한 것으로 추정된다.
라자루스는 북한 대남 공작의 총사령부인 정찰총국과 연계된 해커 조직으로 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 사건 등에 연루됐다. 우리 정부는 라자루스를 지난 2월 사이버 분야 대북 제재 대상으로 지정했다.
경찰청 관계자는 “피의자 중 한 명은 해커에게서 미리 랜섬웨어를 해결할 수 있는 수법을 전수 받은 뒤 ‘다음날부터 랜섬웨어 콜이 많이 들어올 것’이라고 진술했다”며 “실제로 다음 날부터 랜섬웨어 피해자에게 문의 전화가 많이 왔다고 했다”고 전했다. 해커가 랜섬웨어 유포 후 피해자들이 A사에 문의하면 “해커의 협박이 사실이니, 해커가 요구하는 전자지갑으로 비트코인을 보내야만 데이터를 복구할 수 있다”는 취지로 해커의 협박 내용을 보충 설명하는 수법으로 고액의 복구 대행 비용(해커 협상금+대행 수수료)을 받았다고 한다.
북한 해커는 이번 범행 대가로 A사로부터 경찰 추적이 어려운 가상 화폐(비트코인 등)를 받은 것으로 파악된다. A사가 돈을 보낸 일부 전자 지갑은 ‘한미 합동 사이버보안 권고문’에서 발표한 북한 해커 그룹 소유의 지갑 주소인 것으로 확인됐다. 경찰 관계자는 “현재까지 북한 해킹 조직의 가상자산 지갑으로 470만원가량이 이체된 사실이 확인됐다”고 밝혔다.
경찰은 북한 해커에 넘어간 전체 자금 규모를 수사 중이다. 경찰청 관계자는 “범행을 통해 모은 자금의 상당액이 유럽이나 아시아의 특정 온라인 지불 시스템이나 가상자산 거래소로 이체됐다”며 “북한 해커 그룹이 해당 계좌를 자금세탁처로 이용하고 있을 가능성이 있고 확인된 건 외에도 상당 금액이 북한 해커 그룹으로 흘러 들어갔을 가능성도 있다”고 말했다.