아시아통신 박미영 기자 | 경찰청 국가수사본부(사이버수사국)는 올해 6월 우크라이나 현지에서 우크라이나 경찰 및 미국 연방수사국(FBI), 인터폴과 함께 국내 대학·기업 등에 클롭 랜섬웨어(CLOP Ransomware)를 유포하여 시스템을 마비시킨 후 금전을 갈취한 국제 랜섬웨어 범죄조직에 대해 대규모 압수수색 등 합동수사를 실시했다.

또한, 올해 10월에는 합동수사 결과를 바탕으로 피의자 4명(우크라이나 3, A국가 1)을‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, 공갈, ‘범죄수익은닉의 규제 및 처벌 등에 관한 법률(이하 범죄수익은닉규제법)’위반 혐의로 입건하였다. 이 중 자금세탁 총책 등 피의자 2명(우크라이나 1, A국가 1)에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.

이번 사건 피의자들은 2019년 2월 국내 대학·기업 4곳을 대상으로 클롭 랜섬웨어를 유포하여 학사운영, 제조유통, 설비설계 등 정보자산이 보관·운영되던 피해업체들의 주요 시스템 720대를 암호화시켜 장애를 발생시킨 후 암호를 풀어주는 대가로 총 65비트코인(4억 1천만 원, 현 45억 원)을 갈취했다.

이들은 사전에 보안 수준이 상대적으로 취약한 대학·중소 제조업체에 대해 정보를 수집한 후 관리자에게 업무로 위장된 표적형 악성 이메일을 발송하여 열어보게 하는 방법으로 내부 전산망에 최초 침입하였고, 소프트웨어 보안 취약점 등을 이용하여 중앙관리시스템을 장악하고 관리대상 시스템들에 클롭 랜섬웨어를 감염시킨 후 가상자산을 요구했다.

피해 발생 직후 수사 난이도 및 사안의 중요성을 고려해 경찰청 사이버테러수사대가 수사에 착수하였고, 유포된 악성프로그램, 침투·원격제어용 공격 도구, 전산망 침입 수법 등 분석을 통해 획득한 추적 단서(이메일, 제어·유포 서버)에 대해 총 20개국을 상대로 80여 회에 걸쳐 국제공조를 진행했다.

아울러 클롭 랜섬웨어가 전 세계로 퍼지고 있는 것을 확인하고 피해확산 방지 및 신속한 피의자 검거를 위해 한국 경찰과 인터폴이 주도하여 18개(인터폴·유로폴, 16개국) 법집행기관이 참여하는『클롭 랜섬웨어 범죄조직 검거 및 피해확산 방지』위한 공동대응 작전(작전명‘사이클론(Cyclone)’)을 추진했다.

또한, 약 2년여간 피해업체에서 지급한 가상자산을 역추적하여 자금세탁에 사용된 약 1,500여 개의 가상자산 지갑주소를 확인하고 국내·외 가상자산거래소 6곳을 상대로 공조수사를 펼친 끝에 피의자들이 갈취한 가상자산을 최종적으로 수신한 외국 국적 피의자 9명을 특정했다.

올해 2월 한국과 우크라이나 경찰은 우크라이나 국적 피의자 3명에 대한 소재를 확인한 후, 여러 차례 실무회의를 거쳐 현지 합동수사를 결정하였고, 우크라이나 경찰에서 피의자들에 대한 압수수색영장을 발부받았다.

이에 사이버수사국에서는 해킹 수사, 포렌식 분석, 가상자산 추적 등 분야별 전문가 4명으로 수사팀을 구성하여 우크라이나로 파견하였다. 약 2주간 3개국(한국·우크라이나·미국) 80여 명의 수사관 등과 함께 한국 경찰이 특정한 피의자 3명과 우크라이나 경찰이 자체 확인한 관련자 3명의 주거지 등 21개소를 압수 수색하고 6명을 검거했다.

현지에서의 피의자 조사 및 압수물 분석을 통해 피의자들이 클롭 랜섬웨어를 유포한 해커조직과 공모하고 범죄수익으로 취득한 가상자산을 다단계 전송을 거쳐 세탁한 후 최종적으로 해외 가상자산거래소에서 현금화한 것을 확인했다.

한국 경찰은 해커들과 공모하여 자금세탁을 한 혐의가 확인된 우크라이나 국적 조직원(3명)과 압수한 증거분석 등을 통해 추가로 특정된 A국가 국적 조직원(1명)을 범죄수익은닉규제법 위반 혐의 등으로 입건하고, 이 중 자금세탁 총책 피의자 2명(우크라이나1, A국가1)에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.

이번 수사를 통해, 익명성이 보장된 가상자산 거래가 활성화됨에 따라 랜섬웨어도 빠른 속도로 국경을 넘어 확산하고 있으며 개인을 대상으로 공격하던 랜섬웨어가 더 큰 범죄수익을 올릴 수 있는 기업과 공공기관 등으로 확대되고 있다는 사실을 직접 확인했다.

사이버테러 범죄수법이 빠르고 위협적으로 진화하고 있는 환경 속에서 국제 범죄조직을 검거하기 위해서는 해외 법집행기관들과의 적극적인 국제공조가 무엇보다 중요하다. 이번 사건은 해외에서 해당 국가와의 합동수사로 자금세탁 피의자를 검거한 첫 번째 사례로 그 의미가 매우 크다고 할 수 있다.

이에 맞춰 사이버수사국에서는 국제 사이버테러 범죄조직 검거를 위한 새로운 국제공조 수사의 방향을 제시하기 위해 인터폴·유로폴 등 국제 경찰기구 및 전 세계 법집행기관과 이번 사건 수사결과를 공유할 예정이다.

사이버수사국은 범죄인 인도와 관련된 국제조약 및 각 국가 간 형사법 체계에 따라 피의자들을 국내로 송환하는 것이 현실적으로 쉽지 않다고 판단하여 인터폴 적색수배로 피의자들을 신속히 검거하고, 자금세탁에 가담한 나머지 피의자들에 대해서도 지속적인 국제공조 수사를 통해 혐의를 명확히 확인할 예정이다.

더 나아가 자금세탁 조직원들의 범죄혐의 확인을 통해 이들에게 자금세탁을 의뢰하고 실제 클롭 랜섬웨어를 제작·유포한 뒤 범죄수익을 취득한 해커들에 대해서도 실체가 규명될 때까지 수사를 이어나갈 계획이다.

이와 별도로, 개인·기업에 랜섬웨어 피해를 예방할 수 있는 보안수칙을 권고하고, 사이버수사국에서 운영 중인‘랜섬웨어 및 가상자산 추적수사 지원팀’과 사이버테러 수사팀을 중심으로 초국가적인 랜섬웨어 범죄를 차단하기 위해 모든 역량을 집중할 방침이다.