북 해커와 연계 26억 뜯은 업체 "공갈 없었다" 보석 신청

김정민 2023. 12. 25. 05:01
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

“피해자들 문의 전화가 뜸해졌다. 랜섬웨어 안 뿌리나.” (데이터 복구업체)
“마이크로소프트가 보안 패치를 했다. 이틀만 기다려라.” (해커)

일명 ‘매그니베르(Magniber) 랜섬웨어’를 유포하는 해커 조직과 유착해 피해자 730명을 갈취한 혐의로 구속 기소된 서울 강남의 A복구업체 대표 박모(34)씨와 직원 이모(34)씨가 해커와 나눈 대화를 재구성한 것이다. 이들은 2018년 10월부터 지난해 7월까지 랜섬웨어 복구를 문의한 피해자들에게 “해커에게 몸값을 대신 지불하겠다”며 총 26억6489만원을 착복한 혐의(공갈)를 받는다.

해커와 짜고 피해자들을 갈취한 랜섬웨어 복구업체 직원들이 보석을 신청했다. 로이터=연합뉴스

해커와 짜고 피해자들을 갈취한 랜섬웨어 복구업체 직원들이 보석을 신청했다. 로이터=연합뉴스

박씨와 이씨는 구속 두 달 만인 지난 13일과 19일 각각 보석을 신청했다. 지난 15일 서울중앙지법 형사1단독 김상일 부장판사 심리로 열린 첫 재판에서 이들은 “사회적 물의를 일으켜 죄송하다”면서도 무죄를 주장했다. 변호인은 “상담이나 계약 과정에서 폭행·협박·해악의 고지 등 공갈 행위가 없었다”며 혐의를 부인했다. 또 “피고인의 건강 상태가 좋지 않고 구속 후 회사와 가족들도 어려운 상황에 처했다”며 “검·경 논리대로면 다른 랜섬웨어 복구업체도 모두 공갈 공범이 되는 문제가 있다”고 보석 허가를 요청했다. 이날 방청석엔 피고인 가족들이 다수 참석했다.


‘부르는 게 값’ 300만~500만원씩 730회 범행


이들을 수사한 경찰청 보안수사과와 서울중앙지검 정보기술범죄수사부(부장 이춘) 설명을 종합하면, 매그니베르 랜섬웨어는 2017년쯤 한국을 타깃으로 등장했다. 감염되면 ‘.hwp’ 등의 파일 확장자가 ‘uqnqtbhv’와 같은 변칙적인 5~10자리 영문 소문자로 무작위 변환되는 특징이 있다. 주로 한국 영화·드라마 파일 등을 통해 배포된다.

감염된 확장자 정보는 오직 해커만 알 수 있다. A업체는 이를 독점 제공받아 네이버·다음 등 포털사이트에 ‘키워드 광고’로 올리는 방식으로 피해자들을 유인했다. 해커와 수시로 영업 상황을 공유한 정황도 다수 발견됐다. 이런 범행 수법을 발견한 경찰 수사관은 “해커가 업체에 확장자를 전달하고 짧게는 몇 분, 길게는 몇십 분 후에 피해자의 기기가 랜섬웨어에 감염된다”며 “당황한 피해자가 감염된 확장자를 검색해보는 심리를 교묘하게 이용한 것”이라고 설명했다.

검찰은 “다크웹·가상화폐와 같은 생소한 협상 수단에 대한 이용자의 두려움을 데이터 복구업체들이 악용한다”고 봤다. 사진은 비트코인 관련 이미지. 중앙포토

검찰은 “다크웹·가상화폐와 같은 생소한 협상 수단에 대한 이용자의 두려움을 데이터 복구업체들이 악용한다”고 봤다. 사진은 비트코인 관련 이미지. 중앙포토

검찰 공소장에 따르면, 피해 금액은 보통 300만~500만원대로 피해자마다 달랐다. 복구 서비스 비용 등을 포함해 최대 935만원인 경우도 있었다. 범행 대상은 주로 개인과 영세업체였고, 가정용 PC부터 프랜차이즈 카페의 키오스크 등 다양했다.

A업체는 해커로부터 복호화 키를 받아 파일의 암호를 해제하는 단순한 업무를 하고도 해커와 동일하거나 더 많은 금액을 받아갔다. 가령 해커가 피해자에게 비트코인으로 몸값 250만원을 요구하면, 뒤로는 20% 할인해 200만원만 해커에게 건넨 뒤 50만원을 챙기고, 피해자에겐 몸값과 동일한 수수료 250만원을 별도로 받는 식이다.


배후에 북한 해킹조직 있나…피고인 “몰랐다”


수사당국은 매그니베르 랜섬웨어의 배후에 북한 정찰총국 산하 해킹조직으로 알려진 ‘라자루스’가 연계됐다고 보고 있다. 라자루스는 법원, 중앙선관위 등도 해킹한 것으로 추정된다.

수사 결과 박씨와 이씨가 해커에게 이체한 가상화폐 전자지갑 주소 일부는 북한 해킹조직이 소유자인 것으로 드러났다. 해커에게 넘어간 비트코인이 러시아의 한 거래소에서 환전된 흔적도 나왔다. 두 사람이 “북한 라자루스 같다”는 취지로 나눈 텔레그램 대화도 확보됐다. 다만 국가보안법을 적용할 만큼 확실한 북한과의 연계 증거는 발견되지 않았다고 한다. 변호인은 이를 토대로 “피고인들은 북한이라고는 전혀 생각지 못했다”며 “출입국 기록도 깨끗하다”고 주장하고 있다.

검찰은 “복구업체와 해커 간의 유착은 전세계적인 문제”라며 “이번 사건은 우리나라 최초로 이를 구속 기소한 사례로, 향후 유사 사건의 중요한 분기점이 될 수 있다”고 말했다.

김정민 기자 kim.jungmin4@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
중앙일보에서 직접 확인하세요. 해당 언론사로 이동합니다.