北 해커에 “코리안 베스트 컴퍼니” 접근해 26억원 챙긴 데이터 복구업체[법조 Zoom In]

뉴스1

“코리안 베스트 컴퍼니(Korean Best Company)”

국내 유명 데이터복구업체 A사가 2018년경 북한 해커부대 ‘라자루스’ 산하 해커조직에 자신의 ‘전문성’을 과시하며 이런 메시지를 보냈다. 이 업체는 북한 해커조직에 “(거래를) 더 성사시킬게”라며 “딜(deal)을 하자”고 먼저 다가갔다. 해커조직이 뿌린 악성코드에 감염된 컴퓨터를 치료하는 방법을 독점적으로 알려주면 A사가 피해자에게 받은 복구 비용을 나눠주겠다는 제안이었다. A 사 대표 박모 씨(34)와 직원 이모 씨(34)가 북한 해커조직과 손잡고 4년여 동안 해킹 피해자 730명에게 복구비용 명목으로 챙긴 액수는 26억6489만 원에 달하는 것으로 검찰은 파악하고 있다.

●북한 해커에 “딜(deal)을 하자” 먼저 접근

29일 동아일보 취재를 종합하면 서울중앙지검 정보·기술범죄수사부(부장검사 이춘)는 최근 A사 대표 박 씨와 직원 이 씨를 공갈죄로 구속해 재판에 넘겼다. 검찰에 따르면 북한 해커조직과의 결탁은 박 씨가 2018년경 자신의 데이터복구업체를 차리면서 시작됐다. 개업 전 다른 업체의 직원으로 일했던 박 씨가 악성코드에 감염된 피해자 컴퓨터를 복구하는 과정에서 다크웹을 통한 북한 해커조직과의 연락 링크를 확보한 것으로 검찰은 추정하고 있다. 라자루스를 비롯한 해커조직은 악성코드가 담긴 링크나 첨부파일 등을 클릭하게 해 피해자 컴퓨터를 감염시킨 후 몸값을 뜯어내는 ‘랜섬웨어’ 범죄를 일삼아오고 있다.

박 씨와 이 씨는 한국인을 타깃으로 랜섬웨어를 일삼는 북한 해커조직에 “리스트 우리만 볼 수 있게 해주면 결제를 확실히 메이드(made) 해줄게”라며 동업을 제안했다. 이들이 말하는 리스트란 해커조직이 유포하는 랜섬웨어 ‘매그니베르(magniber)’ 에 대한 치료제였다. 매그니베르에 감염되면 컴퓨터 파일의 확장자가 기존 ‘hwp’ ‘jpg’ 등에서 ‘pdksdghedc’처럼 5~10자리 알파벳 소문자로 바뀌어 파일을 열 수 없는 암호화 상태가 되는데, 이를 원래대로 되돌리는 데 필요한 ‘복호화 키’ 리스트인 것이다.

“코리안 베스트 컴퍼니.”
“딜을 하자.”
“리스트 우리만 볼 수 있게 해주면 결제를 확실히 메이드 해줄게.”
“더 성사시킬게.”

A사는 북한 해커조직이 뿌린 매그니베르에 감염되면 파일 확장자명으로 바뀌는 5~10자리 알파벳 소문자를 키워드로 포털사이트에 검색하면 치료업체로 자기 업체가 나오는 광고를 올려 피해자들을 끌어모았다. 피해자들은 포털사이트에서 검색하면 뜨는 광고로 A사를 알게 돼 수백만~수천만 원을 내고 복구를 의뢰한 것으로 알려졌다. 2018년 시작된 A사와 북한 해커조직과의 결탁은 지난해 7월까지 4년여간 이어졌고, 해커조직이 새로운 악성코드를 뿌린 후 2초만에 바로 복호화 키를 A사에 보내줄 만큼 ‘돈독’해졌다.

뉴스1

A사는 북한 해커조직보다도 더 많은 돈을 벌어들인 것으로 조사됐다. 당초 A사는 북한 해커조직에게 감염 치료제인 복호화 키를 정가의 80% 가격에 가상화폐로 구매한 후 해킹 피해자에게는 이를 정가로 팔아 생기는 20%의 차익을 챙기겠다고 협의했다. 예를 들어 A 사가 정가 500만 원짜리 복호화 키를 해커조직에게 400만 원에 구매한 후 피해자에게는 정가를 받고 복구해준 후 차액 100만 원을 챙기겠다는 식이다.

하지만 A사는 피해자들에게 복호화 키 비용과 별도로 서비스료 명목으로 추가로 돈을 받고는 이를 해커조직에게 숨긴 것으로 조사됐다. 서비스료는 복호화 키 비용만큼이었다고 한다. 예를 들어 A 사는 해커조직에 400만 원을 주고 복호화 키를 구매했다면 이를 피해자에겐 사실상 몸값인 복호화 키 비용 500만 원과 서비스료 500만 원을 합쳐 총 1000만 원을 받아낸 것이다.

복호화 키는 해커조직이 만든 것이기에 사실상 정가라는 게 무의미하고, 사실상 피해자 컴퓨터의 몸값이나 다름 없었다. 통상 해커조직은 몸값을 선불로 요구하는데 이를 못 믿는 피해자가 응하지 않으면 돈을 아예 벌 수 없다. 그러기에 몸값 대신 A사에게 복호화 키 판매 비용 명목으로 돈을 받을 수 있다면 이득이라는 이해관계가 맞아떨어진 셈이다. 검찰은 A사의 전자지갑에서 이체된 비트코인 등 가상화폐가 최종적으로 북한 라자루스 전자지갑으로 흘러간 흔적을 포착한 것으로 전해졌다.

● 데이터복구업체에 첫 공갈죄 적용 기소

크게보기

이 사건 수사는 경찰청 보안수사과가 2020년 10월 해커조직의 전자지갑에 A사가 비트코인 등 가상화폐를 송금한 내역을 확인하면서 사실상 시작됐다. 피해자들은 막막한 해킹 피해에서 구제해준 데이터 복구업체가 공범이었을 거라곤 의심조차 못 했기에 제대로 된 피해자 신고도 없었던 것으로 전해졌다. 그러기에 경찰이 처음 첩보를 입수해 수사에 착수하고 검찰이 이들을 구속기소하는 데엔 꼬박 3년 넘는 시간이 걸렸다.

이번 사건은 해커조직이 아닌 데이터 복구업체 임직원에게 공갈죄를 적용해 기소한 첫 사례다. 당초 경찰은 박 씨와 이 씨가 랜섬웨어 유포에 직접 관여하지 않은 점 등을 이유로 처벌이 상대적으로 약한 공갈방조 혐의를 적용해 사건을 검찰에 넘겼다. 하지만 검찰은 이들이 4년여에 걸쳐 랜섬웨어 유포시기와 확장자 정보 등을 독점으로 공급받아 상업광고를 올리고 해커조직보다 더 많은 범죄수익을 거둔 점 등을 고려해 해커조직과의 공갈죄 공동정범으로 구속 기소했다. 보이스피싱 현금 수거책들이 사기죄 공동정범임을 인정한 사례도 고려했다고 한다.

경찰과 검찰은 A사가 다른 해커조직과도 공모해 더 많은 범죄를 저질렀을 가능성이 크다고 보고 수사를 이어가고 있다. 수사당국은 전자지갑 계좌 추적 등을 통해 분석해보니 A사가 해커조직들과 손잡고 해킹 피해 복구 명목으로 챙겼을 것으로 추정되는 범죄수익이 100억 원 규모에 달하는 것으로 보고 있다.

유채연 기자 ycy@donga.com