경찰청 국가수사본부는 올해 6월부터 우크라이나 현지에서 우크라이나 경찰 및 미국 연방수사국(FBI), 인터폴과 함께 국내 대학·기업 등에 클롭 랜섬웨어(CLOP Ransomware)를 유포해 시스템을 마비시킨 후 금전을 갈취한 국제 랜섬웨어 범죄조직에 대해 합동수사를 실시한 결과, 피의자 4명(우크라이나 3명, A국가 1명)을 입건했다고 15일 밝혔다. 이 중 자금세탁 총책 등 피의자 2명(우크라이나 1명, A국가 1명)에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.
|
피해 발생 직후 경찰청 사이버테러수사대가 수사에 착수했고, 획득한 추적 단서(이메일, 제어·유포 서버)에 대해 총 20개국을 상대로 80여회에 걸쳐 국제공조를 진행했다. 아울러 한국 경찰과 인터폴이 주도해 18개(인터폴·유로폴, 16개국) 법집행기관이 참여하는 ‘클롭 랜섬웨어 범죄조직 검거 및 피해확산 방지’ 위한 공동대응 작전(작전명‘사이클론(Cyclone)’)을 추진했다. 또한 약 2년여간 피해업체에서 지급한 가상자산을 역추적해 자금세탁에 사용된 약 1500여개의 가상자산 지갑주소를 확인하고 국내·외 가상자산거래소 6곳을 상대로 공조수사를 펼친 끝에 피의자들이 갈취한 가상자산을 최종적으로 수신한 외국 국적 피의자 9명을 특정했다.
올해 2월 한국과 우크라이나 경찰은 우크라이나 국적 피의자 3명에 대한 소재를 확인한 후, 현지 합동수사를 결정했고, 우크라이나 경찰에서 피의자들에 대한 압수수색영장을 발부받았다. 이에 사이버수사국에서는 해킹 수사, 포렌식 분석, 가상자산 추적 등 분야별 전문가 4명으로 수사팀을 구성해 우크라이나로 파견했다. 약 2주간 3개국(한국·우크라이나·미국) 80여명의 수사관 등과 함께 한국 경찰이 특정한 피의자 3명과 우크라이나 경찰이 자체 확인한 관련자 3명의 주거지 등 21개소를 압수수색해 6명을 검거했다. 현지에서의 피의자 조사 및 압수물 분석을 통해 피의자들이 클롭 랜섬웨어를 유포한 해커조직과 공모하고 범죄수익으로 취득한 가상자산을 다단계 전송을 거쳐 세탁한 후 최종적으로 해외 가상자산거래소에서 현금화한 것을 확인했다.
한국 경찰은 해커들과 공모해 자금세탁을 한 혐의가 확인된 우크라이나 국적 조직원(3명)과 압수한 증거분석 등을 통해 추가로 특정된 A국가 국적 조직원(1명)을 범죄수익은닉규제법 위반 혐의 등으로 입건하고, 이 중 자금세탁 총책 피의자 2명에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.
이번 사건은 해외에서 해당 국가와의 합동수사로 자금세탁 피의자를 검거한 첫 번째 사례로 의미가 크다는 평가다. 사이버수사국은 인터폴 적색수배로 피의자들을 신속히 검거하고, 자금세탁에 가담한 나머지 피의자들에 대해서도 지속적인 국제공조 수사를 통해 혐의를 명확히 확인할 예정이다. 또한 실제 클롭 랜섬웨어를 제작·유포한 해커들에 대해서도 실체가 규명될 때까지 수사를 이어나갈 계획이다.
경찰청 국가수사본부는 “사이버수사국에서 운영 중인 ‘랜섬웨어 및 가상자산 추적수사 지원팀’과 사이버테러 수사팀을 중심으로 초국가적인 랜섬웨어 범죄를 차단하기 위해 모든 역량을 집중할 방침”이라고 밝혔다.