경찰 출석통지서로 속인 랜섬웨어 이메일ⓒ경찰청 제공
“귀하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조(정보통신망에서의 권리보호)’ 위반으로 고소가 되어 조사를 실시할 예정임을 알려드리오니 아래의 출석요구서와 신분증 및 도장 그리고 기타 귀하가 필요하다고 생각하시는 자료를 가지고 나오시기 바라며…”
지난 2019년 2월부터 6월까지 매일 수많은 사람의 이메일로 발송된 ‘온라인 명예훼손관련 출석통지서’의 내용이다.
통지서의 가장 상단에는 ‘울산지방경찰청’이라 돼 있고 조사목적·조사기간·조사인원·조사방법 등이 구체적으로 명시돼 있다. 붙임자료로 고소장 등도 첨부했다는 설명까지 있다. 정말 울산지방경찰청에서 보냈다고 생각하기 쉬운 이 통지서는 사실, 울산지방경찰청에서 보낸 게 아니다.
이를 다운받는 순간 컴퓨터는 악성코드의 일종인 ‘갠드크랩 랜섬웨어’에 감염돼, 중요한 문서·사진 등의 파일을 열어볼 수 없게 된다.
랜섬웨어(ransomware)는 몸값(ransom)과 소프트웨어(software)의 합성어로 시스템을 잠그거나 데이터를 암호화하여 사용할 수 없도록 만드는 악성코드의 일종이다. 갠드크랩(Gandcrab)은 랜섬웨어의 한 종류다. 최근 이를 이용해 금전을 뜯어내는 범죄가 극성을 부리고 있다.
경찰청은 이 같은 방식으로 갠드크랩 랜섬웨어를 유포한 피의자 유 모(20) 씨를 검거해 지난 2월 25일 구속했다고 9일 밝혔다. 유 씨는 랜섬웨어 유포 행위로 최소 120여 명을 속이고 1200만원 상당을 편취한 혐의를 받고 있다. 유포자인 유 씨가 편취한 금액은 전체 범죄수익금의 7%였던 것을 고려하면 전체 피해 금액은 훨씬 클 것으로 보인다.
경찰관서, 헌법재판소, 한국은행 사칭
위장 랜섬웨어 하루 20만 건씩 발송
개발자, 아직 안 잡혀...경찰 “추적 중”
경찰청 사이버범죄수사과는 2019년 2월 12일 랜섬웨어가 첨부된 이메일이 유포되고 있는 사건을 인지하고 수사에 착수했다.
경찰에 따르면, 피의자는 여러 국가를 거쳐 IP주소를 세탁하고 범죄수익금은 가상통화로 받는 등 치밀하게 수사기관의 추적을 회피했다. 하지만 경찰은 약 2년간 10개국과 국제 공조수사를 진행하며 약 3천만 건의 가상통화 입·출금 흐름과 2만7천 개의 통신기록을 분석한 결과, 사칭용으로 구매한 인터넷 도메인 주소 95개를 확인하고 이메일 6486개를 압수한 후 국내에서 랜섬웨어를 유포한 피의자 유 씨를 특정하여 검거했다.
경찰 조사에 따르면, 유 씨는 지난 2019년 2월부터 6월까지 경찰관서 등을 사칭하여 포털사이트 이용자 이메일로 ‘출석통지서’ 등으로 위장한 갠드크랩 랜섬웨어를 매일 20만 건씩 발송했다.
또 유 씨는 경찰관서만 사칭한 게 아니라 헌법재판소, 한국은행 등도 사칭하여 랜섬웨어를 유포했다. 유 씨는 경찰관서 등으로 속이기 위해 ‘울산폴리스 닷컴’(ulsanpolice.com) 등 95개의 도메인 주소를 준비하는 치밀함까지 보였다.
유 씨는 이 같은 방식으로 최소 120명의 PC 등을 랜섬웨어로 감염시켰다. 그런 뒤 피해자에게 파일 복원 비용으로 미화 1300 달러($) 상당의 가상통화를 전송하라고 요구했다. 피해자가 복원 비용으로 이 금액을 지불하면 랜섬웨어 개발자가 수령했다. 그리고 브로커를 거쳐 유포자(7%)에게 순차적으로 전달됐다. 이렇게 유 씨가 편취한 범죄수익금만 1200만 원인 것으로 조사됐다.
다만, 경찰은 랜섬웨어 개발자를 아직 잡지 못했다. 경찰은 개발자를 검거하기 위해 현재 인터폴과 함께 추적하고 있다고 밝혔다.
경찰은 “랜섬웨어에 감염되면 복원이 매우 어렵고, 금전을 지불하더라도 복원이 보장되지 않고 범죄를 더 조장하는 결과를 초래한다”며 “의심되는 이메일을 수신하면, 안전이 확인될 때까지 첨부파일을 절대로 클릭하지 않도록 주의해야 한다”고 당부했다. 그러면서 “한국인터넷진흥원에서 권고하는 ‘랜섬웨어 피해 예방 5대 수칙’을 지켜달라”고 했다.
다음은 한국인터넷진흥원이 권고하는 ‘랜섬웨어 피해 예방 5대 수칙이다.
■ 랜섬웨어 피해 예방 5대 수칙
1. 모든 소프트웨어는 최신 버전으로 업데이트하여 사용
2. 백신 소프트웨어를 설치하고, 최신 버전으로 업데이트
3. 출처가 불명확한 이메일과 인터넷주소(URL) 링크는 실행하지 않음
4. 파일 공유 사이트 등에서 다운로드 및 실행에 주의
5. 중요 자료는 정기적으로 백업
한편, 경찰은 “이번 사건을 계기로 국내 관계기관(한국인터넷진흥원 등) 및 해외 수사기관과 협력하여 랜섬웨어 등 악성프로그램에 더욱 엄정하게 대응할 계획이며, 가상통화 추적과 국제공조 등 모든 역량을 동원하여 랜섬웨어 유포자를 검거하기 위해 수사를 확대할 방침”이라고 밝혔다.
회원에게만 댓글 작성 권한이 있습니다.