클롭 랜섬웨어 유포…국제 범죄조직 자금세탁 총책 등 4명 입건
by정두리 기자
2021.10.15 12:00:00
랜섬웨어 유포해 대학·기업 4곳 45억 상당 갈취
한국·우크라이나·미국 등 3개국 합동수사 펼쳐
“악성프로그램 유포자 검거시까지 수사 계속”
[이데일리 정두리 기자] 전 세계에 클롭 랜섬웨어 유포한 국제 범죄조직의 자금세탁 총책 등 4명이 국제공조 수사를 펼친 경찰에 붙잡혔다.
경찰청 국가수사본부는 올해 6월부터 우크라이나 현지에서 우크라이나 경찰 및 미국 연방수사국(FBI), 인터폴과 함께 국내 대학·기업 등에 클롭 랜섬웨어(CLOP Ransomware)를 유포해 시스템을 마비시킨 후 금전을 갈취한 국제 랜섬웨어 범죄조직에 대해 합동수사를 실시한 결과, 피의자 4명(우크라이나 3명, A국가 1명)을 입건했다고 15일 밝혔다. 이 중 자금세탁 총책 등 피의자 2명(우크라이나 1명, A국가 1명)에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.
| 경찰청 국가수사본부는 올해 6월부터 우크라이나 현지에서 우크라이나 경찰 및 미국 연방수사국(FBI), 인터폴과 함께 국제 랜섬웨어 범죄조직에 대해 합동수사를 실시한 결과, 피의자 4명을 입건했다. 우크라이나 경찰특공대가 피의자 주거지 입구를 강제개방 후 진입하고 있는 모습. (사진=경찰청) |
|
클롭 랜섬웨어는 암호화한 시스템 파일의 확장자를 ‘clop’으로 변경시켜 시스템을 마비시키는 악성 프로그램이다. 이번 사건 피의자들은 2019년 2월 국내 대학·기업 4곳을 대상으로 클롭 랜섬웨어를 유포해 학사운영, 제조유통, 설비설계 등 정보자산이 보관·운영되던 피해업체들의 주요 시스템 720대를 암호화시켜 장애를 발생시킨 후 암호를 풀어주는 대가로 총 65비트코인(4억1000만원, 현 45억원)을 갈취했다.
피해 발생 직후 경찰청 사이버테러수사대가 수사에 착수했고, 획득한 추적 단서(이메일, 제어·유포 서버)에 대해 총 20개국을 상대로 80여회에 걸쳐 국제공조를 진행했다. 아울러 한국 경찰과 인터폴이 주도해 18개(인터폴·유로폴, 16개국) 법집행기관이 참여하는 ‘클롭 랜섬웨어 범죄조직 검거 및 피해확산 방지’ 위한 공동대응 작전(작전명‘사이클론(Cyclone)’)을 추진했다. 또한 약 2년여간 피해업체에서 지급한 가상자산을 역추적해 자금세탁에 사용된 약 1500여개의 가상자산 지갑주소를 확인하고 국내·외 가상자산거래소 6곳을 상대로 공조수사를 펼친 끝에 피의자들이 갈취한 가상자산을 최종적으로 수신한 외국 국적 피의자 9명을 특정했다.
올해 2월 한국과 우크라이나 경찰은 우크라이나 국적 피의자 3명에 대한 소재를 확인한 후, 현지 합동수사를 결정했고, 우크라이나 경찰에서 피의자들에 대한 압수수색영장을 발부받았다. 이에 사이버수사국에서는 해킹 수사, 포렌식 분석, 가상자산 추적 등 분야별 전문가 4명으로 수사팀을 구성해 우크라이나로 파견했다. 약 2주간 3개국(한국·우크라이나·미국) 80여명의 수사관 등과 함께 한국 경찰이 특정한 피의자 3명과 우크라이나 경찰이 자체 확인한 관련자 3명의 주거지 등 21개소를 압수수색해 6명을 검거했다. 현지에서의 피의자 조사 및 압수물 분석을 통해 피의자들이 클롭 랜섬웨어를 유포한 해커조직과 공모하고 범죄수익으로 취득한 가상자산을 다단계 전송을 거쳐 세탁한 후 최종적으로 해외 가상자산거래소에서 현금화한 것을 확인했다.
한국 경찰은 해커들과 공모해 자금세탁을 한 혐의가 확인된 우크라이나 국적 조직원(3명)과 압수한 증거분석 등을 통해 추가로 특정된 A국가 국적 조직원(1명)을 범죄수익은닉규제법 위반 혐의 등으로 입건하고, 이 중 자금세탁 총책 피의자 2명에 대해서는 체포영장을 발부받아 인터폴에 적색수배를 요청했다.
이번 사건은 해외에서 해당 국가와의 합동수사로 자금세탁 피의자를 검거한 첫 번째 사례로 의미가 크다는 평가다. 사이버수사국은 인터폴 적색수배로 피의자들을 신속히 검거하고, 자금세탁에 가담한 나머지 피의자들에 대해서도 지속적인 국제공조 수사를 통해 혐의를 명확히 확인할 예정이다. 또한 실제 클롭 랜섬웨어를 제작·유포한 해커들에 대해서도 실체가 규명될 때까지 수사를 이어나갈 계획이다.
경찰청 국가수사본부는 “사이버수사국에서 운영 중인 ‘랜섬웨어 및 가상자산 추적수사 지원팀’과 사이버테러 수사팀을 중심으로 초국가적인 랜섬웨어 범죄를 차단하기 위해 모든 역량을 집중할 방침”이라고 밝혔다.