"PC 수리 불렀더니"..'랜섬웨어' 깔아 3억6천 가로챈 '간 큰' 수리기사

김형주 2021. 6. 16. 12:03
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
고객 PC에 몰래 설치 후 원격조종
타 해커 감염 PC엔 복구비 10배 '뻥튀기'
단순고장인데 "랜섬웨어다" 속이기도
경찰 "범죄수익 다 써버려 환수 불가"

[사진 = 연합뉴스]

[사진 = 연합뉴스]
수리를 의뢰받은 PC에 자체 제작한 랜섬웨어를 감염시키거나, 다른 랜섬웨어 공격을 당한 고객에 복구비를 부풀리는 방식으로 수억원을 가로챈 수리기사 9명이 검거됐다. 랜섬웨어는 데이터를 암호화해 사용불능 상태로 만드는 악성코드로 범죄자들이 데이터 복구를 대가로 금전을 요구하는 데 사용된다.

16일 서울지방경찰청 사이버수사과는 피해자 40명에게 3억6200만원을 가로챈 컴퓨터 수리업체 법인 1곳과 이곳 소속 기사 9명을 검거해 2명을 구속했다고 밝혔다. 해당 업체는 전국적으로 50여명의 수리기사를 두고 있다. 피해자들은 인터넷 검색을 통해 수리 업체를 찾았다가 피해를 입은 것으로 전해졌다.

기사들은 문서·이미지 등 파일들을 '.enc' 확장자로 암호화시키는 랜섬웨어를 직접 제작해 고객들의 PC에 유포했다. 출장 수리를 간 업체의 PC에 랜섬웨어와 원격 침입 악성코드를 설치한 뒤 시간차를 두고 랜섬웨어를 실행해 컴퓨터 파일을 암호화시키는 방식이다. 이들은 복구를 의뢰한 피해 업체들에게 해커의 범행이라고 속여 4개 업체로부터 3260만원을 부당 취득했다. 기사들은 자신들이 랜섬웨어를 깔았다는 의심을 피하기 위해 원격으로 피해자들의 컴퓨터를 모니터링하며 랜섬웨어 실행 시기를 조율한 것으로 밝혀졌다. 사이버수사과 관계자는 "피해자 대부분이 자신들이 범죄를 당한 사실을 모르고 있었다"며 "수사가 진행되며 피해자가 더 늘어날 수 있다"고 말했다.

서울경찰청 사이버수사과는 수리 의뢰를 받은 고객의 컴퓨터에 자체 제작 랜섬웨어를 감염시키거나 복구 과정에서 업체들을 속여 총 3억여원을 받아 챙긴 혐의로 모 컴퓨터 수리업체 소속 A(43)씨와 B(44)씨 등 기사 9명을 검거했다고 16일 밝혔다. 사진은 경찰 관계자가 이들의 범행 수법을 설명하는 모습 [사진 = 연합뉴스]

서울경찰청 사이버수사과는 수리 의뢰를 받은 고객의 컴퓨터에 자체 제작 랜섬웨어를 감염시키거나 복구 과정에서 업체들을 속여 총 3억여원을 받아 챙긴 혐의로 모 컴퓨터 수리업체 소속 A(43)씨와 B(44)씨 등 기사 9명을 검거했다고 16일 밝혔다. 사진은 경찰 관계자가 이들의 범행 수법을 설명하는 모습 [사진 = 연합뉴스]
이들은 다른 해커들로부터 랜섬웨어 공격을 받은 고객들에게도 해커와의 협상 이메일 내용을 조작해 복구비용을 부풀려 챙긴 것으로 드러났다. 기사 A씨는 해커가 데이터 복구 대가로 0.8BTC(비트코인)을 요구했으나 8BTC를 요구한 것처럼 이메일을 조작해 약 1억3000만원을 부당하게 챙겼다. 해커가 알려준 가상자산 지갑 주소를 자신의 지갑 주소로 조작해 0.5BTC(1300만원)을 가로채거나, 고객이 랜섬웨어 피해를 복구해달라며 맡긴 PC에 추가적으로 랜섬웨어를 감염시켜 복구비 4000만원을 챙긴 사례도 있었다. 기사들은 접촉불량, 부팅장애 등 일반적인 고장을 랜섬웨어 감염으로 속여 3700만원을 받아내기도 했다. 피해 업체 대표 B씨는 "수리기사가 해커에게 줘야한다며 수천만원을 받아간 뒤 2차 감염이 됐다고 또 다시 돈을 요구했다"며 "사기 의심이 들었지만 데이터를 서둘러 복구해야 해 돈을 줄 수밖에 없었다"고 말했다.

피의자 9명은 같은 회사 소속으로 범죄 방법 등을 서로 공유해온 것으로 드러났다. 대표이사 등 경영진은 범죄에 공모한 정황이 발견되지 않아 입건되지 않았다. 경찰 관계자는 "기사들은 프리랜서 형태로 고용돼 범죄수익의 대부분을 가져갔다"며 "경영진이 범죄 사실을 알았거나 방조한 사실은 입증되지 않았다"고 밝혔다.

이들이 가로챈 범죄수익은 환수되지 못할 것으로 전망된다. 경찰 관계자는 "몰수보전, 추징보전은 대상 범죄가 정해져있는데 해킹 등은 해당이 되지 않는다"며 "피의자들이 가상화폐 등을 이미 현금화한 뒤 다 써버려 피해자들에게 환부할 수 없는 상황"이라고 밝혔다.

경찰은 지난해 12월 랜섬웨어 피해 업체의 신고를 받고 조사하다 이들 일당을 포착한 것으로 전해졌다. 사이버수사과 관계자는 "내국인이 랜섬웨어를 유포한 사례는 2017년에 있었지만 원격침입 프로그램까지 넣어 조종한 것은 이번이 처음"이라며 "랜섬웨어 피해를 막기 위해 출처가 불분명한 이메일과 URL 링크를 실행하지 말고, 피해를 입으면 반드시 경찰에 신고해달라"고 당부했다.

[김형주 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.