경찰, 랜섬웨어 ‘갠드크랩’ 유포자 검거 및 구속
랜섬웨어 이메일 유포를 통해 범죄수익금으로 1200만원 상당의 돈을 벌어들여
피의자가 매일 20만건의 랜섬웨어 이메일을 보낸것으로 나타나
[ 위즈덤 아고라 / 장석현 객원기자 ] 경찰청의 사이버수사국 경찰관서는 지난 2월 25일, 헌법재판소, 한국은행, 경찰청 등을 사칭하여 ‘갠드크랩’이라는 랜섬웨어를 유포한 피의자를 검거 및 구속하였다.
랜섬웨어란 몸값(Ransom)과 제품(Ware)의 합성어로 주로 컴퓨터에 있는 개인정보나 문서를 인질로 삼아 사용자에게 돈을 요구하는 형식의 악성 프로그램이다. 랜섬웨어는 주로 이메일이나 웹사이트에서 다운로드하는 파일 문서를 통해 감염된다. 이 뿐만이 아니다. 직접 파일을 다운로드하지 않아도 ‘신뢰할 수 없는 사이트’에 접속하기만 해도 감염되는 경우도 흔하다. 공격자가 관리가 허술한 웹사이트 내에 악성코드나 랜섬웨어를 숨긴 다음, 컴퓨터 사용자가 자신도 모르게 실행된 코딩 스크립트를 통해 취약점을 만들어 감염되게 하는 ‘드라이브 바이 다운로드(Drive By Download)’ 방식도 존재한다.
현재 창궐하고 있는 랜섬웨어들의 수는 약 50개로, 갠드크랩은 다양한 랜섬웨어 종류의 일부분이다.
랜드크랩 유포자는 사용자들을 속이기 위해 경찰청 사이트와 유사한 인터넷 도메인 주소 95개를 준비하고 경찰 출석통지서로 위장을 한 랜섬웨어 이메일들을 약 6,500개가량을 발송하였다. 만약 갠드크랩 랜섬웨어가 감염이 되면 파일과 사진들을 즉시 암호화되고, 사용자에게 복원비용으로 돈을 요구하는데 미화로 약 1,300$ 상당의 가상통화를 내야 했다. 하지만 보통은 복원 자체가 매우 어렵고 금전을 지불해도 보장되지 않을뿐더러 범죄를 더욱 조장하고 유도하는 상황이 반복됐다.
가상통화는 경찰의 추적을 피하기 위해 요구하는 것이었다. 가상통화는 모든 거래가 익명으로 진행되고 금전적인 가치가 전자적으로 저장되기 때문이다. 피해자가 비용을 지불 시, 랜섬웨어의 개발자(공범)가 수령을 하게 되어있고 중개인을 거쳐 약 7%의 수익금이 랜섬웨어 이메일 유포자에게 순차적으로 전해졌다. 그 결과, 2019년 2월부터 6월까지, 총 4월간 랜섬웨어를 유포한 결과, 120명의 피해자가 발생한 것으로 나타났고 범죄수익금으로 약 1200만 원을 받은 것으로 확인됐다.
경찰은 2019년 2월 12일, 출석요구서로 가장된 랜섬웨어가 유포되고 있다는 사실을 인지하고 한국인터넷진흥원과 수사에 착수했다. 피의자는 가상화폐를 사용하는 것뿐만 아니라 여러 국가들로 옮기면서 IP주소를 세탁하면서 추적을 피해왔다. 하지만 경찰은 2년간 10개국과 같이 국제공조수사를 진행해오면서 약 3천만 건의 가상통화의 거래내역과 임출금, 2만 7천 개 가량의 통신기록, 도용된 이메일 6,400개 가량을 조사한 결과 인터넷 도메인 주소 95개를 구매한 내역을 확인했고 국내에서 유포자를 검거할 수 있었다. 하지만 아직 랜섬웨어의 개발자인 공범은 인터폴과 공동으로 수사 중이다.
경찰은 랜섬웨어가 의심되는 이메일이 수신되면 절대로 수신된 첨부파일을 열어보지 말 것을 주의했고 한국인터넷진흥원은 다음과 같은 ‘랜섬웨어 피해 예방 5대 수칙’을 지켜줄 것을 당부하였다.
이 5대 수칙은 다음과 같다.
- 모든 소프트웨어는 최신용으로 업데이트하여 사용하기.
- 백신 소프트웨어 또한 설치하고 최신용으로 업데이트하기.
- 출처가 불분명한 인터넷 주소는 실행하지 않음
- 파일 공유 사이트에서 토렌트나 P2P 같은 다운로드를 조심하기.
- 중요한 자료는 정기적으로 백업하기.
경찰은 이 사건을 계기로 많은 국내 관계기관과 해외 수사기관의 협력을 통해 더욱 랜섬웨어 범죄를 더욱 엄중하게 대응할 계획이고 유포자를 검거하기 위해 가상화폐 추적과 국제공조 등, 모든 역량을 동원할 것이라고 밝혔다.
