3년전 韓기업 공격한 랜섬웨어 조직, 코인 현금화하다 '덜미'

황국상 기자 2022. 9. 20. 17:11
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

임종철 디자이너 /사진=임종철

임종철 디자이너 /사진=임종철

3년전 한국 기업과 대학을 상대로 랜섬웨어 공격을 자행했다가 지난해 검거된 해커 그룹이 피해 기관으로부터 갈취한 가상자산을 현금화하는 과정에서 덜미를 잡혔던 것으로 나타났다.

랜섬웨어 조직이 가상자산을 적극 활용하고 있다는 게 다시금 확인된 셈이다. 당국도 가상자산 추적기술 개발 등 대응역량 개발에 주력하고 있다.

임양현 경찰청 국가수사본부 사이버테러대응과 수사관은 20일 서울 양재동 엘타워에서 KISA(한국인터넷진흥원), 과기정통부 공동주최로 열린 '제1회 랜섬웨어 레질리언스 컨퍼런스'에서 '인터폴 및 한국·우크라이나·미국 등 3국 합동수사 사례' 발표를 통해 이같이 밝혔다.

랜섬웨어(Ransomware)란 해킹 등 방식으로 기업 등의 IT시스템에 저장된 파일이나 시스템을 마비시킨 후 돈(몸값, Ransom)을 받고서야 이를 풀어주는 방식의 공격에 쓰이는 악성 프로그램을 일컫는다.

2019년 2월 국내 대학과 자동차 부품사, 식품업체 등 4곳이 클롭이라는 이름의 랜섬웨어에 감염됐다. 전 세계에서 가장 먼저 클롭 공격이 시도된 곳이 바로 한국이었다.

클롭은 TA505(Threat Actor 505)라는 이름으로 2014년부터 기업 정보탈취 및 금전적 대가를 목적으로 활동해 온 조직이 만든 랜섬웨어다. 이 과정에서 주요 시스템 내 720대에 달하는 컴퓨터에 암호가 걸려 시스템이 먹통에 빠졌다. 한국과 미국 기업들이 주로 클롭의 피해를 받았다. 이들 일당들은 지난해 6월 우크라이나 현지에서 한국·우크라이나·미국 등 3국 수사당국의 긴밀한 공조 끝에 검거됐다.

당시 국내 피해기업·기관 중 2곳이 암호 해제 코드를 받는 조건으로 65개의 비트코인을 제공했다. 당시 시세로 4억1000만원 상당의 비트코인이었는데 현 시세로는 45억원에 달한다.

당시 피해기업 1곳의 사례가 발표됐다. 당시 랜섬웨어 조직은 이 기업의 전 직원 700명에게 피싱(Phishing) 메일을 발송했는데 이 중 단 3명의 직원들이 피싱메일 속 첨부파일을 실행했다.

이 과정에서 클롭 랜섬웨어가 가동됐고 최초 이메일 발송 후 약 40분만에 직원 PC가 감염돼 랜섬웨어 유포 거점으로 악용됐다. 최초 공격 3시간만에 이 회사의 전산정보팀 직원이 랜섬웨어 징후를 발견해 담당자에 전달했지만 문제된 PC의 포맷 등 조치는 다음날로 미뤄졌다.

회사 측 조치가 늦어진 시기 해커 일당은 거점 PC를 기반으로 랜섬웨어를 추가로 제작·유포해 이메일 공격이 감행된지 17시간만에 AD서버까지 감염시키는 데 성공했다. AD서버란 같은 그룹 내 모든 PC를 관리할 수 있는 서버를 말한다. 이후 52시간만에 이 회사의 서버 46대와 PC 247대가 랜섬웨어에 감염돼 먹통이 됐다.

임 수사관은 "범인들이 암호해제를 대가로 받은 비트코인이 우리가 추적할 단서가 됐다"며 "비트코인을 현금화해서 가져가는 사람이 랜섬웨어 공격을 감행한 범인과 근접한 사람일 것이라 생각하고 가상자산 추적 프로그램을 통해 분석했다"고 했다.

또 "이 과정에서 유력한 3명을 특정했고 가상자산 거래소에서 받은 정보 등을 종합한 결과 자금을 세탁하는 그룹과 랜섬웨어를 제작·유포하는 그룹이 별개라는 것을 알게 됐다"며 "미국·우크라이나 수사당국과 공조를 통해 현지에서 일당들을 검거하는 데 성공했다"고 전했다.

그는 "사이버환경이 변화하면서 수사는 점점 어려워지고 있고 국제공조도 매우 중요한 부분으로 부각됐다"며 "랜섬웨어 관련 수사에도 법제도적 한계가 있을 수 있지만 대기업과 중소기업이 연구개발한 내용을 오픈해 서로 협력하는 방식이 도입될 필요가 있다"고 했다.

이어 "경찰도 앞으로도 사이버범죄 범인들을 잡기 위해 노력하겠지만 여러분들의 협력이 더욱 필요하다"며 "클롭 사건 등의 경우도 이를 시사하고 있다"고 했다.

실제 가상자산이 랜섬웨어 조직에 악용되면서 당국도 가상자산 추적기술 개발에 주력하고 있다. 박준국 과학기술정보통신부 정보보호기획과장은 이날 오프닝 세션 발표를 통해 "과거에는 해커들이 금품을 요구하더라도 받을 수단이 마땅치 않았던 데다 추적을 당하기도 쉬웠다"며 "추적이 어려운 가상자산의 대두로 랜섬웨어 조직들도 기업화되고 있다"고 했다.

또 "지난해부터 가상자산 부정거래 흐름 추적기술 연구, 다크웹 은닉서비스 식별 및 근원지 추적기술 개발 등을 통해 랜섬웨어 대응역량 제고에 주력하고 있다"고 했다.

[관련기사]☞ 故송해 '회당 300만원'…김신영 '반값 출연료' 진실은?손흥민, 가족 무단 촬영에 경고…"불법 행위"신지 "김종민과 결혼설? 임신했다더라…엄마도 의심해""개라고 부르지마!" 버럭한 견주…강형욱 반응은?임창정 "날 어린 애 취급" 폭발…서하얀은 상담 중 눈물
황국상 기자 gshwang@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.