랜섬웨어 '클롭' 유포해 금품 뜯어낸 국제범죄 조직 검거

시스템을 해킹해 랜섬웨어 ‘클롭’을 심은 뒤 수억 원의 금품을 뜯어낸 국제범죄 조직이 경찰에 붙잡혔다.

경찰청 국가수사본부는 15일 우크라이나 경찰, 미국 연방수사국(FBI), 인터폴과 함께 우크라이나 현지에서 수사를 벌여 자금세탁 역할을 한 총책 등 6명을 검거했다고 밝혔다. 경찰은 이들 중 우크라이나 국적 피의자 3명과 다른 국적 피의자 1명을 공갈과 범죄수익은닉규제법 위반 등 혐의로 입건했다.

클롭 랜섬웨어 사건 개요도/ 경찰청

이들은 국내 대학과 기업을 대상으로 랜섬웨어를 유포하고 시스템 장애를 발생시킨 뒤 암호를 풀어주는 대가로 총 65비트코인(당시 시세 4억1000천만원, 현 시세 45억원)을 가로챈 혐의를 받는다. 클롭 랜섬웨어는 암호화한 시스템 파일의 확장자를 ‘clop’으로 변경시켜 시스템을 마비시키는 악성 프로그램이다.

이들은 특히 보안 수준이 상대적으로 취약한 대학과 중소기업의 관리자에게 업무를 위장한 전자우편을 발송해 열어보게 하는 방식으로 내부 전산망에 침입했다. 이어 중앙관리시스템을 장악해 클롭을 감염시킨 뒤 가상 자산을 요구한 것으로 알려졌다.

업무용 이메일로 위장된 표적형 악성 이메일 원본/ 경찰청

경찰청 사이버테러수사대는 유포된 악성프로그램과 침투·원격제어용 공격 도구, 전산망 침입 수법 등을 분석해 획득한 단서를 총 20개국과 공유했다. 한국 경찰과 인터폴이 주도해 18개(인터폴·유로폴, 16개국) 법집행기관이 참여하는 ‘클롭 랜섬웨어 범죄조직 검거 및 피해확산 방지’를 위한 공동대응 작전, 이른바 ‘사이클론’을 추진했다.

경찰은 사이클론 작전을 통해 자금세탁에 사용된 약 1500개의 가상자산 지갑 주소를 확인했고, 국내외 가상자산거래소들을 상대로 수사를 펼친 끝에 피의자들이 갈취한 가상자산을 해외 거래소에서 현금화한 사실을 밝혀냈다.

가상자산 거래 활성화로 랜섬웨어를 활용한 범죄는 전 세계적으로 확산되고 있다. 최근 3년간 국내 랜섬웨어 침해사고 신고 건수는 2018년 22건에서 2020년 127건으로 6배 가량 급증했다. 경찰은 인터폴·유로폴 등 국제 경찰기구 및 전 세계 법집행기관과 이번 사건 수사결과를 공유할 방침이다.

경찰 랜섬웨어 클롭 해킹 일당 검거