압수수색 현장. 경기남부경찰청 제공병원과 아파트 관리사무소 등 개인 정보를 관리하는 국내 업체 서버를 상대로 랜섬웨어 공격을 한 카자흐스탄 국적 남성이 경찰에 붙잡혔다.
경기남부경찰청 사이버수사과는 15일 정보통신망법 위반(악성프로그램 유포), 공갈미수 등 혐의를 받는 카자흐스탄 국적 30대 남성 A씨를 검거했다고 밝혔다.
A씨는 2022년부터 지난해 7월까지 랜섬웨어 조직의 총책으로 활동하며 국내 업체 6곳의 서버에 침입해 내부 정보를 암호화한 뒤 비트코인 등을 요구하도록 지시하거나 직접 범행한 혐의를 받고 있다.
공격당한 국내 업체 가운데 A씨 조직의 요구에 응해 비트코인을 송금한 곳은 없었지만, 한동안 서버가 마비되는 등의 피해를 본 것으로 전해졌다.
A씨 일당은 한국 외에도 다수 국가의 서버를 상대로 점조직 형태로 범행하면서 암호화한 서버들을 복호화하는 대가로 비트코인을 요구했다.
이들은 국내 업체들이 서버를 설치해 운영하는 과정에서 기본 아이디와 비밀번호를 변경하지 않거나, 단순한 문자열로 입력해둔다는 점을 파악하고 범행했다.
또 자주 사용되는 계정 정보를 업체 서버에 무작위로 대입하면서 서버에 침투해 시스템 권한을 탈취하고, 공격을 이어갔던 것으로 드러났다.
조직원들이 국내 기업에서 빼돌린 파일과 협상 금액을 보고한 채팅 목록. 경기남부경찰청 제공
2022년 9월 피해 업체의 신고를 접수한 경찰은 수사를 벌인 끝에 범행에 이용한 카자흐스탄 IP를 확보했다. 경찰은 카자흐스탄과 형사사법공조와 화상회의 등을 거쳐 A씨 신원을 특정했다.
지난해 7월 카자흐스탄 수사기관인 국가안전위원회(NSC, National Security Committee)와 현지 공조 작전을 통해 A씨가 현지에서 검거됐고, 카자흐스탄 알마티에 위치한 A씨 주거지를 압수수색했다.
A씨는 현재 카자흐스탄에서 형사 처분을 받은 것으로 알려졌다. 경찰이 카자흐스탄 수사기관과 협력하며 현지에서 직접 피의자를 검거한 것은 이번 사례가 처음이다.
경찰은 추가 피해 방지를 위해 수사 과정에서 확보한 랜섬웨어 복호화 기술 정보를 한국인터넷진흥원(KISA) 등 관련 기관과 공유할 예정이다.
경찰 관계자는 "서버에 기본 설정된 관리자 계정정보는 반드시 변경하고 정기적으로 비밀번호를 갱신해야 한다"며 "다단계 인증 적용, 접근 통제 및 계정 사용 이력 점검 등 기본 보안 조치를 철저히 하는 것이 중요하다"고 당부했다.