뉴스1
“코리안 베스트 컴퍼니(Korean Best Company)”
국내 유명 데이터복구업체 A사가 2018년경 북한 해커부대 ‘라자루스’ 산하 해커조직에 자신의 ‘전문성’을 과시하며 이런 메시지를 보냈다. 이 업체는 북한 해커조직에 “(거래를) 더 성사시킬게”라며 “딜(deal)을 하자”고 먼저 다가갔다. 해커조직이 뿌린 악성코드에 감염된 컴퓨터를 치료하는 방법을 독점적으로 알려주면 A사가 피해자에게 받은 복구 비용을 나눠주겠다는 제안이었다. A 사 대표 박모 씨(34)와 직원 이모 씨(34)가 북한 해커조직과 손잡고 4년여 동안 해킹 피해자 730명에게 복구비용 명목으로 챙긴 액수는 26억6489만 원에 달하는 것으로 검찰은 파악하고 있다.
●북한 해커에 “딜(deal)을 하자” 먼저 접근
29일 동아일보 취재를 종합하면 서울중앙지검 정보·기술범죄수사부(부장검사 이춘)는 최근 A사 대표 박 씨와 직원 이 씨를 공갈죄로 구속해 재판에 넘겼다. 검찰에 따르면 북한 해커조직과의 결탁은 박 씨가 2018년경 자신의 데이터복구업체를 차리면서 시작됐다. 개업 전 다른 업체의 직원으로 일했던 박 씨가 악성코드에 감염된 피해자 컴퓨터를 복구하는 과정에서 다크웹을 통한 북한 해커조직과의 연락 링크를 확보한 것으로 검찰은 추정하고 있다. 라자루스를 비롯한 해커조직은 악성코드가 담긴 링크나 첨부파일 등을 클릭하게 해 피해자 컴퓨터를 감염시킨 후 몸값을 뜯어내는 ‘랜섬웨어’ 범죄를 일삼아오고 있다.박 씨와 이 씨는 한국인을 타깃으로 랜섬웨어를 일삼는 북한 해커조직에 “리스트 우리만 볼 수 있게 해주면 결제를 확실히 메이드(made) 해줄게”라며 동업을 제안했다. 이들이 말하는 리스트란 해커조직이 유포하는 랜섬웨어 ‘매그니베르(magniber)’ 에 대한 치료제였다. 매그니베르에 감염되면 컴퓨터 파일의 확장자가 기존 ‘hwp’ ‘jpg’ 등에서 ‘pdksdghedc’처럼 5~10자리 알파벳 소문자로 바뀌어 파일을 열 수 없는 암호화 상태가 되는데, 이를 원래대로 되돌리는 데 필요한 ‘복호화 키’ 리스트인 것이다.
“코리안 베스트 컴퍼니.”
“딜을 하자.”
“리스트 우리만 볼 수 있게 해주면 결제를 확실히 메이드 해줄게.”
“더 성사시킬게.”
A사는 북한 해커조직이 뿌린 매그니베르에 감염되면 파일 확장자명으로 바뀌는 5~10자리 알파벳 소문자를 키워드로 포털사이트에 검색하면 치료업체로 자기 업체가 나오는 광고를 올려 피해자들을 끌어모았다. 피해자들은 포털사이트에서 검색하면 뜨는 광고로 A사를 알게 돼 수백만~수천만 원을 내고 복구를 의뢰한 것으로 알려졌다. 2018년 시작된 A사와 북한 해커조직과의 결탁은 지난해 7월까지 4년여간 이어졌고, 해커조직이 새로운 악성코드를 뿌린 후 2초만에 바로 복호화 키를 A사에 보내줄 만큼 ‘돈독’해졌다.
뉴스1
하지만 A사는 피해자들에게 복호화 키 비용과 별도로 서비스료 명목으로 추가로 돈을 받고는 이를 해커조직에게 숨긴 것으로 조사됐다. 서비스료는 복호화 키 비용만큼이었다고 한다. 예를 들어 A 사는 해커조직에 400만 원을 주고 복호화 키를 구매했다면 이를 피해자에겐 사실상 몸값인 복호화 키 비용 500만 원과 서비스료 500만 원을 합쳐 총 1000만 원을 받아낸 것이다.
복호화 키는 해커조직이 만든 것이기에 사실상 정가라는 게 무의미하고, 사실상 피해자 컴퓨터의 몸값이나 다름 없었다. 통상 해커조직은 몸값을 선불로 요구하는데 이를 못 믿는 피해자가 응하지 않으면 돈을 아예 벌 수 없다. 그러기에 몸값 대신 A사에게 복호화 키 판매 비용 명목으로 돈을 받을 수 있다면 이득이라는 이해관계가 맞아떨어진 셈이다. 검찰은 A사의 전자지갑에서 이체된 비트코인 등 가상화폐가 최종적으로 북한 라자루스 전자지갑으로 흘러간 흔적을 포착한 것으로 전해졌다.
● 데이터복구업체에 첫 공갈죄 적용 기소
이번 사건은 해커조직이 아닌 데이터 복구업체 임직원에게 공갈죄를 적용해 기소한 첫 사례다. 당초 경찰은 박 씨와 이 씨가 랜섬웨어 유포에 직접 관여하지 않은 점 등을 이유로 처벌이 상대적으로 약한 공갈방조 혐의를 적용해 사건을 검찰에 넘겼다. 하지만 검찰은 이들이 4년여에 걸쳐 랜섬웨어 유포시기와 확장자 정보 등을 독점으로 공급받아 상업광고를 올리고 해커조직보다 더 많은 범죄수익을 거둔 점 등을 고려해 해커조직과의 공갈죄 공동정범으로 구속 기소했다. 보이스피싱 현금 수거책들이 사기죄 공동정범임을 인정한 사례도 고려했다고 한다.
경찰과 검찰은 A사가 다른 해커조직과도 공모해 더 많은 범죄를 저질렀을 가능성이 크다고 보고 수사를 이어가고 있다. 수사당국은 전자지갑 계좌 추적 등을 통해 분석해보니 A사가 해커조직들과 손잡고 해킹 피해 복구 명목으로 챙겼을 것으로 추정되는 범죄수익이 100억 원 규모에 달하는 것으로 보고 있다.
유채연 기자 ycy@donga.com