랜섬웨어로 업체 서버 공격 … '비트코인 갈취 시도' 카자흐스탄 총책 검거

국내 병원과 아파트 관리사무소 등 다수의 개인정보가 담긴 서버에 침입해 랜섬웨어로 공격한 조직의 총책이 카자흐스탄 현지에서 검거됐다.

경기남부경찰청 사이버수사과는 지난해 7월 카자흐스탄 국적 남성 A(35)씨를 정보통신망법 위반(악성프로그램 유포)과 공갈미수 혐의로 현지에서 검거했다고 15일 밝혔다.

A씨는 2022년부터 지난해 7월까지 랜섬웨어 조직의 총책으로 활동하며 병원과 아파트 관리사무소 등 국내 업체 6곳의 서버에 침입해 데이터를 암호화한 혐의를 받는다. A씨 조직은 한국 외에도 여러 국가 서버를 대상으로 점조직 형태로 범행한 것으로 파악됐다.

이들은 암호화한 서버를 복구해 주는 대가로 비트코인을 요구했다. 공격당한 국내 업체 중 A씨 조직에 비트코인을 송금한 곳은 없었으나, 업체들은 한동안 서버 마비 등 업무에 차질을 빚었다.

A씨 조직은 국내 업체들이 서버 운영 시 기본 설정된 아이디와 비밀번호를 변경하지 않거나 단순한 조합을 사용한다는 점을 악용했다. 이들은 흔히 쓰이는 계정 정보를 무작위로 대입하는 방식으로 시스템 권한을 탈취해 공격을 감행한 것으로 드러났다.

경기남부청은 2022년 9월 관련 신고 접수 후 피해 서버 분석을 통해 범행에 사용된 카자흐스탄 IP 주소를 확보했다. 이후 카자흐스탄과 수차례 형사사법공조와 화상회의를 진행해 A씨의 신원을 특정했다.

경찰은 카자흐스탄 수사기관인 국가안전위원회(NSC, National Security Committee)와 공조 작전을 벌여 지난해 7월 1일 현지에서 A씨를 검거했다. 또한 같은 날 카자흐스탄 알마티 소재 A씨의 주거지를 압수수색했다.

경찰에 따르면 압수수색 당시 현장에서는 국내 업체들을 대상으로 한 랜섬웨어 공격이 실시간으로 진행되고 있어 경찰이 즉시 차단 조치했다.

경찰이 카자흐스탄 수사기관과 협력해 현지에서 직접 피의자를 검거한 것은 이번이 처음이다. A씨는 현재 여러 국가를 대상으로 한 범행 여죄가 드러나 현지에서 복역 중이다.

경찰은 이번 수사에서 확보한 랜섬웨어 복호화 기술 정보를 한국인터넷진흥원(KISA) 등과 공유해 추가 피해 방지에 나설 계획이다.