국내 업체 랜섬웨어 공격한 카자흐 남성, 현지서 체포

[수원=이데일리 황영민 기자] 수년간 다수 국내 업체에 랜섬웨어 공격을 펼치며 비트코인을 요구한 카자흐스탄 국적 남성이 현지에서 체포됐다.

카자흐스탄 국적 남성이 국내 업체 서버를 상대로 랜섬웨어 공격을 한 뒤 남긴 복호화 대가로 비트코인을 요구하는 메모장.(사진=경기남부경찰청)

15일 경기남부경찰청 사이버수사과에 따르면 악성 프로그램 유포와 공갈미수 등 혐의로 랜섬웨어 조직 총책 A(35)씨를 한국 경찰과 카자흐스탄 수사기관 공조수사 끝에 검거에 성공했다.

A씨와 조직원들은 지난 2022년부터 2025년 7월까지 다수 국내 업체 서버 등에 침입해 랜섬웨어 프로그램으로 데이터를 암호화한 후 이를 풀어주는(복호화) 대가로 비트코인을 요구한 혐의를 받는다.

이들은 국내 업체들이 설치해 운영하는 서버의 기본(디폴트) 설정된 아이디와 비밀번호를변경하지 않거나, 단순한 문자열로 설정한다는 점을 노린 것으로 확인됐다. 자주 사용되는 계정 정보를 무작위로 대입하는 방식으로 시스템 권한을 탈취한 뒤 공격을 감행한 것이다.

A씨 일당의 비트코인 요구에 응한 국내 업체는 없었지만, 랜섬웨어 공격으로 한동안 서버가 마비되는 등 피해를 입은 것으로 전해지고 있다.

2022년 9월께 최초 신고를 접수한 경찰은 랜섬웨어에 감염된 서버를 분석, 범행에 사용된 카자흐스탄 IP 주소를 확보했다. 이후 카자흐스탄 수사기관인 NSC(National Security Committee·국가안전위원회)와 한국 경찰이 참여하는 현지 공조를 통해 지난해 7월 카자흐스탄 알마티에 있는 A씨 주거지를 압수수색하고 관련 전자정보를 확보했다.

경찰은 확보된 증거물을 분석해 A씨의 여죄를 확인했으며, 카자흐스탄 수사기관과 협조해 확인된 또 다른 범죄행위에 대해서도 수사할 예정이다.

경기남부청 관계자는 “범죄조직이 기본 설정된 계정 정보를 입력하거나 무작위 계정 대입 방식으로 침입해 랜섬웨어 공격을 하고 있으므로, 기본 설정된 관리자 계정 정보는 반드시 변경하고 정기적 비밀번호 갱신, 다단계 인증 적용, 접근 통제 및 계정 사용 이력 점검 등 기본 보안 조치를 철저히 이행하는 것이 중요하다”고 강조했다.

그러면서 “이번 수사 과정에서 확보한 랜섬웨어 복호화 관련 기술 정보를 한국인터넷진흥원(KISA) 등 관련 기관과 공유함으로써 피해 확산을 방지하는 등 랜섬웨어에 대한 대응도 강화해 나갈 예정”이라고 덧붙였다.