머니투데이

속보
VIP
통합검색

PC 수리 맡겼더니 랜섬웨어 심은 수리업체…"복구비 주세요"

머니투데이
  • 임소연 기자
  • 카카오톡 공유하기
  • 카카오톡 나에게 전송하기
  • 페이스북
  • 트위터
  • 네이버
  • 카카오스토리
  • 텔레그램
  • 문자
  • 2021.06.17 05:40
  • 글자크기조절
  • 의견 남기기
임종철 디자이너 /사진=임종철 디자이너
임종철 디자이너 /사진=임종철 디자이너
"의사가 병 걸리게 하고 고쳐준 꼴"

경찰이 수리를 의뢰받은 PC에 랜섬웨어를 심고 복구비를 요구하는 방식으로 총 3억6000여만원을 가로챈 컴퓨터 수리업체와 수리기사 일당을 검거했다. 이들은 전국적으로 50여명의 수리기사를 둔 컴퓨터 수리업체 소속 수리기사들이다.

17일 경찰에 따르면 서울경찰청 사이버수사과는 수리를 맡긴 의뢰인 PC에 랜섬웨어를 일부러 심거나 해커가 요구한 복구비를 부풀리는 방식으로 돈을 뜯어낸 컴퓨터 수리업체 소속 수리기사와 법인 등 10명을 정보통신망법상 악성프로그램 유포 등의 혐의로 입건했다. 이 가운데 2명은 구속됐다.



원격 프로그램 깔아놓고 랜섬웨어 감염


서울경찰청 사이버수사과가 피의자들이 피해자 컴퓨터에 랜섬웨어를 감염시켜 문서들을 암호화한 것을 재현했다/사진=임소연 기자
서울경찰청 사이버수사과가 피의자들이 피해자 컴퓨터에 랜섬웨어를 감염시켜 문서들을 암호화한 것을 재현했다/사진=임소연 기자
피의자들은 2019년 12월부터 지난 3월까지 피해자 40명(개인 2명·법인 38곳)으로부터 총 3억6200만원을 가로챘다. 이들은 데이터 복구나 수리를 위해 인터넷 검색으로 업체를 찾은 고객들을 대상으로 범행을 저질렀다.

특히 이들은 지난해 12월 문서와 이미지 등 파일을 '.enc' 확장자로 암호화하는 랜섬웨어를 자체 제작했다. 이후 올해 1~2월 출장 수리를 갔다가 20개 업체의 컴퓨터에 원격 침입 악성코드를 설치해 저장된 데이터와 접속 기록 등 고객 사생활을 염탐하며 범행 시기를 정했다.

피의자들은 피해자 컴퓨터에 원격 프로그램을 몰래 설치한 후 지켜보며 자체 제작한 랜섬웨어를 감염시킬 시기를 포착했다. 이후 램섬웨어를 실행해 컴퓨터 파일을 암호화하고, 복구 의뢰를 받아 수리비를 챙겼다. 이런 식으로 4개 업체로부터 3260만원을 부당 취득했다.

이들은 또 실제 랜섬웨어 공격을 당해 복구를 의뢰한 21개 업체 데이터 복구 과정에서 해커로부터 받은 협상 이메일을 조작해 복구비를 부풀리는 방식으로 3억3000만원을 뜯어냈다. 해커가 0.8BTC(비트코인)을 요구하면 8BTC를 요구한 것처럼 속여 차액을 챙겼다.

그 외 랜섬웨어 복구 의뢰가 들어온 PC에 자체 제작 랜섬웨어를 추가로 감염시켜 해커 소행이라고 속이고 추가 복구비를 받아냈다. 접촉 불량, 부팅 장애 등 일반적인 고장을 랜섬웨어 감염으로 속여 복구비를 편취하기도 했다.

지난해 5월 이들에게 피해를 입은 업체의 대표 나모씨는 해커에게 랜섬웨어 공격을 당한 후 해당 수리업체에 복구를 요청했다. 수리기사는 해커와 직접 협상해 복구하겠다며 두 차례에 걸쳐 1700여만원, 800여만원씩 총 2500여만원을 받아 챙겼다.

나씨는 "랜섬웨어 감염은 해커가 아니면 어느 누구도 풀 수가 없다고 해서 경찰 신고할 생각을 안 했다"며 "또 수리기사들이 왠지 사기를 치는 것 같다는 의심은 들었지만 증거가 없어서 신고할 수가 없었다"고 말했다.


"협상하면 지속 공격 받을 수 있어, 즉시 경찰에 신고해야"


서울경찰청 사이버수사과가 피의자들이 피해자 컴퓨터에 랜섬웨어를 감염시켜 문서들을 암호화한 것을 재현했다/사진=임소연 기자
서울경찰청 사이버수사과가 피의자들이 피해자 컴퓨터에 랜섬웨어를 감염시켜 문서들을 암호화한 것을 재현했다/사진=임소연 기자
경찰은 지난해 12월 해커의 랜섬웨어 공격을 당한 피해업체의 신고를 접수하고 해커들의 흔적을 쫓던 중 피의자들의 범죄를 포착, 수사에 착수했다. 이 과정에서 피해 사실조차 몰랐던 전국 39개 업체를 찾아냈다.

경찰은 범행에 사용된 랜섬웨어 및 원격 침입 악성코드 24개를 모두 압수했다고 밝혔다. 또 사안의 중대성을 고려해 범죄이익을 공유한 업체에 대해서 양벌규정을 적용했다. 경찰은 업체가 수리기사들의 범죄 사실을 알았는지 여부는 명확하게 드러나지 않았다고 밝혔다.

경찰은 피의자들이 피해자들로부터 편취한 가상화폐나 현금 등 범죄수익은 남아있지 않아 압·환수는 할 수 없었다고 설명했다. 또 해당 혐의는 몰수나 추징보전이 적용되지 않는다.

경찰 관계자는 "의사가 병에 걸리게 하고선 고쳐준 것과 다름 없다고 보면 된다"며 "피해자가 본인이 피해를 당했단 걸 인지조차 못해 신고를 못한 경우도 많았다"고 말했다. 이어 "랜섬웨어 공격에 몸값을 지불하면 지속적인 공격대상이 될 수 있는 만큼 협상보단 공격을 당한 즉시 경찰에 신고해달라"고 당부했다.



머니투데이 주요뉴스

'7만전자' 되자 또 파운드리 분사설...삼성 반도체의 고민

베스트클릭

오늘의 꿀팁

  • 날씨
  • 건강쏙쏙

많이 본 뉴스

부동산 유튜브 정보채널 부릿지
부꾸미
머니투데이 탄소중립 아카데미
사회안전지수

포토 / 영상

머니투데이 SERVICE