랜섬웨어 ‘클롭’ 유포 4명 검거…국내 기업·대학들 피해

국내 대학과 기업 4곳에 랜섬웨어를 유포해 암호화폐를 갈취한 외국 국적 범죄 조직원들이 경찰에 검거됐다.

경찰청 국가수사본부는 15일 우크라이나 국적 3명과 다른 국적의 외국 조직원 1명을 정보통신망 이용촉진 및 정보보호 등에 관한 법률·공갈·범죄수익은닉의 규제 및 처벌 등에 관한 법률 위반 혐의로 입건했다고 밝혔다.

경찰에 따르면 이들은 2019년 국내 대학과 기업 4곳을 대상으로 클롭 랜섬웨어를 유포해 학사 운영, 제조 유통 등 정보 자산이 보관·운영되던 업체들의 주요 시스템 720대를 마비시키고서 암호를 풀어주는 대가로 총 65비트코인(4억 1000만원, 현 기준 45억원)을 가로챈 혐의를 받는다. 클롭은 암호화한 시스템 파일의 확장자를 ‘clop’으로 변경시켜 마비시킨 뒤 이를 위협해 금전을 갈취하는 데 쓰이는 악성 프로그램이다.

이들은 보안 수준이 상대적으로 취약한 대학·중소 제조업체 등을 범행 대상으로 삼았다. 관리자에게 업무로 위장한 이메일을 발송해 열람하게 하는 방법으로 내부 전산망에 진입한 뒤 중앙 관리 시스템을 장악하는 수법을 사용했다.

수사에 착수한 경찰청 사이버테러수사대는 전산망 침입 수법 등을 분석해 추적 단서를 20개국과 공유했다. 또 인터폴과 유로폴, 피해를 당한 16개국이 참여하는 클롭 랜섬웨어 범죄조직 검거 등을 위한 공동대응 작전 ‘사이클론’을 추진했다. 이를 통해 자금세탁에 사용된 약 1500개의 가상자산 지갑 주소를 확인하고 국내외 가상자산거래소들을 상대로 수사를 펼친 끝에 가상 자산을 최종적으로 수신한 외국 국적 피의자 9명을 특정했다. 경찰은 지난 6월 11일~25일 우크라이나에서 현지 경찰과 합동 수사를 벌여 범죄에 연루된 6명을 검거했다.

진우경 경찰청 테러수사2대장은 “최근 가상자산 거래가 활성화하면서 랜섬웨어 피해도 세계적으로 확산하는 가운데 현지 공조를 통해 자금세탁 총책을 처음 검거한 데 의미가 있다”며 “프로그램 유포자 검거까지 공조를 지속할 것”이라고 말했다.

이주원 기자 starjuwon@seoul.co.kr