병원서버 멈추게 만든 랜섬웨어 공격…잡고보니 카자흐스탄 해커

병원·아파트서버 암호화하고 코인요구
카자흐 당국 공조해 체포…현지 복역중

조직원들이 A씨에게 탈취한 파일 및 협상 금액을 보고한 채팅방. [경기남부경찰청]

병원과 아파트 관리사무소 등 다수의 인적 정보가 담긴 국내 업체 서버에 침입해 랜섬웨어 공격을 벌인 조직의 총책이 카자흐스탄에서 검거됐다. 경찰이 카자흐스탄 수사기관과 협력하며 현지에서 직접 피의자를 검거한 것은 이번 사례가 처음이다.

경기남부경찰청 사이버수사과는 지난해 7월 정보통신망법 위반(악성프로그램 유포) 및 공갈미수 혐의를 받는 카자흐스탄 국적의 남성 A씨(35)를 현지에서 검거했다고 15일 밝혔다.

A씨는 2022년부터 지난해 7월까지 랜섬웨어 조직의 총책 역할을 하며 병원과 아파트 관리사무소를 비롯한 국내 업체 6곳의 서버에 침입해 내부 데이터를 암호화한 인물이다.

A씨 조직은 한국 외에도 여러 국가의 서버를 겨냥해 점조직 형태로 범행하며 암호화한 서버들을 복호화하는 대가로 비트코인을 요구했다.

공격당한 국내 업체 중 A씨 조직의 요구에 응해 비트코인을 송금한 곳은 없었으나 한동안 서버가 마비되는 등의 피해를 본 것으로 확인됐다.

특히 A씨 조직은 국내 업체들이 서버를 설치해 운영하는 과정에서 기본 설정된 아이디와 비밀번호를 변경하지 않거나 단순한 문자열로 입력해둔다는 점을 노렸다.

이들은 자주 사용되는 계정 정보를 각 업체 서버에 무작위로 대입하는 방식으로 서버에 침투해 시스템 권한을 탈취한 뒤 공격을 이어갔던 것으로 드러났다.

경기남부청은 2022년 9월 관련 신고를 받고 수사에 착수해 피해 서버를 분석한 끝에 범행에 사용된 카자흐스탄 IP 주소를 확보했다. 이어 카자흐스탄과 여러 차례 형사사법공조와 화상회의를 거친 끝에 A씨의 신원을 특정했다.

경찰은 카자흐스탄 수사기관인 국가안전위원회(NSC)와 공조 작전에 나서 지난해 7월 1일 현지에서 A씨를 검거했다. 아울러 같은 날 카자흐스탄 알마티에 위치한 A씨 주거지를 압수 수색했다.

현장에서는 다수 국내 업체 서버에 대한 랜섬웨어 공격이 실시간으로 이뤄지고 있어 경찰이 이를 중단시켰던 것으로 전해졌다.

현재 A씨는 한국을 비롯한 여러 국가의 서버를 대상으로 범행한 여죄가 드러나 현재 카자흐스탄에서 복역 중이다.

경찰은 A씨가 검거된 이후에도 여죄 수사 등을 위해 카자흐스탄 수사기관과 소통했으며 이달 초 A씨에 대한 수사를 마무리 지었다.

경찰은 추가 피해 방지를 위해 이번 수사 과정에서 확보한 랜섬웨어 복호화 기술과 관련한 정보를 한국인터넷진흥원(KISA) 등 관련 기관과 공유할 계획이다.

경찰 관계자는 “서버에 기본 설정된 관리자 계정정보는 반드시 변경하고 정기적으로 비밀번호를 갱신해야 한다”며 “다단계 인증 적용, 접근 통제 및 계정 사용 이력 점검 등 기본 보안 조치를 철저히 하는 것이 중요하다”고 당부했다.