[단독] 북한해커 지령받은 남한 한패…영세업자 돈 뜯어 北에 송금

랜섬웨어에 감염된 컴퓨터
북구 못하면 사업유지 못해
울며 겨자먹기로 비용 지불
南업체, 포털사이트서 홍보
피해자에 거액 복구비 챙겨

[사진 = 픽사베이]

경찰조사 결과 북한 해커들이 살포한 랜섬웨어에 당한 피해자 상당수는 중소기업이나 소상공인들로 파악됐다. 이들은 악성코드가 심어진 메일을 열어본 후 컴퓨터가 감염되고 이를 복구하지 않으면 사업이 중단될 위기에 처하자 울며 겨자먹기로 고액의 수수료를 낸 것으로 나타났다. 한번 랜섬웨어에 감염되면 해커들에게 돈을 지급하는 것 외에 뾰족한 해결 방법이 없다는 점을 악용했다.

경찰은 이같은 사실을 파악해 피의자들의 주거지와 사무실 압수 수색을 통해 북한 해커와 공모한 대화 내용이 담긴 텔레그램과 이메일을 비롯해 피해자들과 계약한 데이터복구 계약서, 해커가 남긴 랜섬웨어 노트 등을 확보했다. 경찰 수사 과정에서 북한 해킹 조직의 가상자산 지갑으로 500만원 가량의 자금이 이체된 것도 확인됐다. 경찰은 북측에 넘어간 전체 자금 규모를 수사중이다.

피해자의 컴퓨터가 랜섬웨어에 감염됐을 경우 해커들은 이를 빌미로 금전을 요구하는 것이 특징이다. 랜섬웨어 감염시 실행파일의 확장자가 5~10자리의 무작위 로마자로 변환되는데, 이를 유포한 해커만이 감염 확장자를 미리 알 수 있는 구조다.

북한해커들은 피해자들의 컴퓨터를 랜섬웨어에 감염시킨 다음 비트코인을 지급하면 암호를 풀 수 있는 키를 알려 주겠다는 메시지를 남긴다. 북한 해커들과 사전에 결탁한 대행업체는 포털사이트에 이를 복구를 할 수 있다는 광고를 하는 방식으로 피해자들을 끌어 모았다.

랜섬웨어 피해자들은 감염된 확장자를 포털사이트에 검색하는 경우가 많다는 것을 알고 이를 노렸다. 이들은 해커와 결탁해 다른 업체가 풀지 못하는 암호를 풀 수 있는 업체라는 식으로 영업하며 고액의 복구비를 받아온 것으로 나타났다. 해커로부터 암호를 푸는 키를 받기 위해서 피해자 대다수는 데이터 복구 대행업체에 이를 맡기는 수밖에 없었다.

경찰청 관계자는 “해킹 피해자들이 확장자를 포털사이트에 검색해 해당 업체에 문의하면 해커가 요구하는 전자지갑으로 비트코인을 보내야만 데이터를 복구할 수 있다는 취지로 설명하고 복구 대행비를 받았다”며 “복구 대행비 중 일부는 비트코인으로 해커에게 전달해 온 것으로 드러났다”고 설명했다.

이 과정에서 북한 해커들은 일정기간 복구업체의 대행 계약을 확인해 실적이 저조하면 계약관계를 끊고 다른 업체로 갈아타는 등 치밀함도 보였다.

경찰청 관계자는 “피의자 중 한 명은 해커로부터 미리 랜섬웨어 확장자를 받았고 내일부터 랜섬웨어 콜이 많이 들어올 것이라고 진술했다”며 “실제 다음날부터 랜섬웨어 피해자들의 문의 전화가 많아졌다고 했다”고 설명했다.

특히 북한 해커들이 심어놓은 매그니베르(Magniber) 랜섬웨어는 최근 많이 유포가 이뤄지면서 특히 피해가 커지고 있는 양상이다. 해당 랜섬웨어의 주 타깃이 대부분 한국인이라는 점에서 더욱 주의가 요구된다. 보안업체 안랩은 앞서 보고서를 통해 매그니베르 랜섬웨어가 2017년 처음 등장했을 때 한국어 윈도우 시스템만을 대상으로 삼았다고 밝힌 바 있다.

보안 업계에서는 이같이 금전적 피해가 우려되는 랜섬웨어 종류만 이미 1000여건이 넘는 것으로 보고 있다. 소프트웨어업체 팝콘사의 이용호 책임연구원은 “일단 랜섬웨어에 감염되면 돈을 주고 푸는 것 외에 뾰족한 대책이 없다는 측면에서 더욱 취약할 수밖에 없다”며 “특히 평소에 자신이 잘 모르고 있는 실행파일이나 링크는 클릭하지 않아야 하며 중요 데이터는 수시로 백업을 해서 보관해야 피해를 막을 수 있다”고 말했다.

경찰은 추가적인 피해를 막기 위해 랜섬웨어 관련 범죄에 대한 적극적인 수사와 함께 유사 사건의 재발을 방지하기 위해 과학기술정보통신부, 한국인터넷진흥원 등 관계기관과 협의해 나간다는 계획이다.

▶▶ 용어설명 : 랜섬웨어 랜섬웨어는 몸값을 뜻하는 랜섬(ransom)과 악성코드를 의미하는 멀웨어(malware)를 합친 말로 컴퓨터 데이터에 암호를 걸어 쓸 수 없는 상태로 만든 뒤 현금이나 암호화폐를 뜯어내는 사이버 공격이다.