뉴스1
“코리안 베스트 컴퍼니(Korean Best Company)”
國內 有名 데이터復舊業體 A社가 2018年頃 北韓 해커負袋 ‘라자루스’ 傘下 해커組織에 自身의 ‘專門性’을 誇示하며 이런 메시지를 보냈다. 이 業體는 北韓 해커組織에 “(去來를) 더 성사시킬게”라며 “딜(deal)을 하자”고 먼저 다가갔다. 해커組織이 뿌린 惡性코드에 感染된 컴퓨터를 治療하는 方法을 獨占的으로 알려주면 A社가 被害者에게 받은 復舊 費用을 나눠주겠다는 提案이었다. A 四 代表 朴某 氏(34)와 職員 李某 氏(34)가 北韓 해커組織과 손잡고 4年餘 동안 해킹 被害者 730名에게 復舊費用 名目으로 챙긴 額數는 26億6489萬 원에 達하는 것으로 檢察은 把握하고 있다.
●北韓 해커에 “딜(deal)을 하자” 먼저 接近
29日 동아일보 取材를 綜合하면 서울中央地檢 情報·技術犯罪搜査部(部長檢事 이춘)는 最近 A社 代表 朴 氏와 職員 李 氏를 恐喝罪로 拘束해 裁判에 넘겼다. 檢察에 따르면 北韓 해커組織과의 結託은 朴 氏가 2018年頃 自身의 데이터復舊業體를 차리면서 始作됐다. 開業 前 다른 業體의 職員으로 일했던 朴 氏가 惡性코드에 感染된 被害者 컴퓨터를 復舊하는 過程에서 다크웹을 통한 北韓 해커組織과의 連絡 링크를 確保한 것으로 檢察은 推定하고 있다. 라자루스를 비롯한 해커組織은 惡性코드가 담긴 링크나 添附파일 等을 클릭하게 해 被害者 컴퓨터를 感染시킨 後 몸값을 뜯어내는 ‘랜섬웨어’ 犯罪를 일삼아오고 있다.
朴 氏와 이 氏는 韓國人을 타깃으로 랜섬웨어를 일삼는 北韓 해커組織에 “리스트 우리만 볼 수 있게 해주면 決濟를 確實히 메이드(made) 해줄게”라며 同業을 提案했다. 이들이 말하는 리스트란 해커組織이 流布하는 랜섬웨어 ‘매그니베르(magniber)’ 에 對한 治療劑였다. 매그니베르에 感染되면 컴퓨터 파일의 擴張字가 旣存 ‘hwp’ ‘jpg’ 等에서 ‘pdksdghedc’처럼 5~10자리 알파벳 小文字로 바뀌어 파일을 열 수 없는 暗號化 狀態가 되는데, 이를 元來대로 되돌리는 데 必要한 ‘復號化 키’ 리스트인 것이다.
“코리안 베스트 컴퍼니.”
“딜을 하자.”
“리스트 우리만 볼 수 있게 해주면 決濟를 確實히 메이드 해줄게.”
“더 성사시킬게.”
|
A社는 北韓 해커組織이 뿌린 매그니베르에 感染되면 파일 擴張字名으로 바뀌는 5~10자리 알파벳 小文字를 키워드로 포털사이트에 檢索하면 治療業體로 自己 業體가 나오는 廣告를 올려 被害者들을 끌어모았다. 被害者들은 포털사이트에서 檢索하면 뜨는 廣告로 A社를 알게 돼 數百萬~數千萬 원을 내고 復舊를 依賴한 것으로 알려졌다. 2018年 始作된 A社와 北韓 해커組織과의 結託은 지난해 7月까지 4年餘間 이어졌고, 해커組織이 새로운 惡性코드를 뿌린 後 2秒만에 바로 復號化 키를 A社에 보내줄 만큼 ‘돈毒’해졌다.
뉴스1
A社는 北韓 해커組織보다도 더 많은 돈을 벌어들인 것으로 調査됐다. 當初 A社는 北韓 해커組織에게 感染 治療劑인 復號化 키를 定價의 80% 價格에 假想貨幣로 購買한 後 해킹 被害者에게는 이를 政街로 팔아 생기는 20%의 差益을 챙기겠다고 協議했다. 例를 들어 A 社가 政家 500萬 원짜리 復號化 키를 해커組織에게 400萬 원에 購買한 後 被害者에게는 政街를 받고 復舊해준 後 差額 100萬 원을 챙기겠다는 式이다.
하지만 A社는 被害者들에게 復號化 키 費用과 別途로 서비스料 名目으로 追加로 돈을 받고는 이를 해커組織에게 숨긴 것으로 調査됐다. 서비스料는 復號化 키 費用만큼이었다고 한다. 例를 들어 A 社는 해커組織에 400萬 원을 주고 復號化 키를 購買했다면 이를 被害者에겐 事實上 몸값인 復號化 키 費用 500萬 원과 서비스料 500萬 원을 합쳐 總 1000萬 원을 받아낸 것이다.
復號化 키는 해커組織이 만든 것이기에 事實上 政家라는 게 無意味하고, 事實上 被害者 컴퓨터의 몸값이나 다름 없었다. 通常 해커組織은 몸값을 先拂로 要求하는데 이를 못 믿는 被害者가 應하지 않으면 돈을 아예 벌 수 없다. 그러기에 몸값 代身 A社에게 復號化 키 販賣 費用 名目으로 돈을 받을 수 있다면 利得이라는 利害關係가 맞아떨어진 셈이다. 檢察은 A社의 電子紙匣에서 移替된 비트코인 等 假想貨幣가 最終的으로 北韓 라자루스 電子紙匣으로 흘러간 痕跡을 捕捉한 것으로 傳해졌다.
● 데이터復舊業體에 첫 恐喝罪 適用 起訴
이 事件 搜査는 警察廳 保安搜査課가 2020年 10月 해커組織의 電子紙匣에 A社가 비트코인 等 假想貨幣를 送金한 內譯을 確認하면서 事實上 始作됐다. 被害者들은 漠漠한 해킹 被害에서 救濟해준 데이터 復舊業體가 共犯이었을 거라곤 疑心조차 못 했기에 제대로 된 被害者 申告도 없었던 것으로 傳해졌다. 그러기에 警察이 처음 諜報를 入手해 搜査에 着手하고 檢察이 이들을 拘束起訴하는 데엔 꼬박 3年 넘는 時間이 걸렸다.
이番 事件은 해커組織이 아닌 데이터 復舊業體 任職員에게 恐喝罪를 適用해 起訴한 첫 事例다. 當初 警察은 朴 氏와 이 氏가 랜섬웨어 流布에 直接 關與하지 않은 點 等을 理由로 處罰이 相對的으로 弱한 恐喝幇助 嫌疑를 適用해 事件을 檢察에 넘겼다. 하지만 檢察은 이들이 4年餘에 걸쳐 랜섬웨어 流布時기와 擴張字 情報 等을 獨占으로 供給받아 商業廣告를 올리고 해커組織보다 더 많은 犯罪收益을 거둔 點 等을 考慮해 해커組織과의 恐喝罪 共同正犯으로 拘束 起訴했다. 보이스피싱 現金 收去責들이 詐欺罪 共同正犯임을 認定한 事例도 考慮했다고 한다.
警察과 檢察은 A社가 다른 해커組織과도 公募해 더 많은 犯罪를 저질렀을 可能性이 크다고 보고 搜査를 이어가고 있다. 搜査當局은 電子紙匣 計座 追跡 等을 통해 分析해보니 A社가 해커組織들과 손잡고 해킹 被害 復舊 名目으로 챙겼을 것으로 推定되는 犯罪收益이 100億 원 規模에 達하는 것으로 보고 있다.
유채연 記者 ycy@donga.com
-
- 좋아요
- 0
個
-
- 슬퍼요
- 0
個
-
- 火나요
- 0
個
-
- 推薦해요
- 個
