병원·아파트 관리 서버 '랜섬웨어 공격' 카자흐스탄 총책 검거

병원과 아파트 관리사무소 등 다수의 인적 정보가 담긴 국내 업체 서버에 침입해 랜섬웨어 공격을 벌인 조직의 총책이 카자흐스탄에서 검거됐습니다.

경기남부경찰청 사이버수사과는 지난해 7월 정보통신망법 위반(악성프로그램 유포) 및 공갈미수 혐의를 받는 카자흐스탄 국적의 남성 A(35) 씨를 현지에서 검거했다고 오늘(15일) 밝혔습니다.

A 씨는 2022년부터 지난해 7월까지 랜섬웨어 조직의 총책 역할을 하며 병원과 아파트 관리사무소를 비롯한 국내 업체 6곳의 서버에 침입해 내부 데이터를 암호화한 인물입니다.

A 씨 조직은 한국 외에도 여러 국가의 서버를 겨냥해 점조직 형태로 범행하며 암호화한 서버들을 복호화하는 대가로 비트코인을 요구했습니다.

공격당한 국내 업체 중 A 씨 조직의 요구에 응해 비트코인을 송금한 곳은 없었으나 한동안 서버가 마비되는 등의 피해를 본 것으로 파악됐습니다.

특히 A 씨 조직은 국내 업체들이 서버를 설치해 운영하는 과정에서 기본 설정된 아이디와 비밀번호를 변경하지 않거나 단순한 문자열로 입력해둔다는 점을 노렸습니다.

이들은 자주 사용되는 계정 정보를 각 업체 서버에 무작위로 대입하는 방식으로 서버에 침투해 시스템 권한을 탈취한 뒤 공격을 이어갔던 것으로 드러났습니다.

경기남부청은 2022년 9월 관련 신고를 받고 수사에 착수해 피해 서버를 분석한 끝에 범행에 사용된 카자흐스탄 IP 주소를 확보했습니다.

이어 카자흐스탄과 여러 차례 형사사법공조와 화상회의를 거친 끝에 A 씨의 신원을 특정했습니다.

경찰은 카자흐스탄 수사기관인 국가안전위원회(NSC, National Security Committee)와 공조 작전에 나서 지난해 7월 1일 현지에서 A 씨를 검거했습니다.

아울러 같은 날 카자흐스탄 알마티에 위치한 A 씨 주거지를 압수 수색했습니다.

압수 현장에서는 다수 국내 업체 서버에 대한 랜섬웨어 공격이 실시간으로 이뤄지고 있어 경찰이 이를 중단시켰던 것으로 전해졌습니다.

경찰은 A 씨가 검거된 이후에도 여죄 수사 등을 위해 카자흐스탄 수사기관과 소통했으며 이달 초 A 씨에 대한 수사를 마무리 지었습니다.

경찰이 카자흐스탄 수사기관과 협력하며 현지에서 직접 피의자를 검거한 것은 이번 사례가 처음입니다.

경찰은 추가 피해 방지를 위해 이번 수사 과정에서 확보한 랜섬웨어 복호화 기술과 관련한 정보를 한국인터넷진흥원(KISA) 등 관련 기관과 공유할 계획입니다.

경찰 관계자는 "서버에 기본 설정된 관리자 계정정보는 반드시 변경하고 정기적으로 비밀번호를 갱신해야 한다"며 "다단계 인증 적용, 접근 통제 및 계정 사용 이력 점검 등 기본 보안 조치를 철저히 하는 것이 중요하다"고 당부했습니다.

(사진=경기남부경찰청 제공, 연합뉴스)