헌법재판소를 사칭한 '갠드크랩' 랜섬웨어 이메일. 조악한 한국어로 '재판에 출두해야 한다'고 고지하며 첨부파일 클릭을 유도하고 있다./사진=경찰청 제공
경찰을 사칭해 무작위로 유포되던 랜섬웨어 '갠드크랩'이 한국은행·헌법재판소 등 국책은행이나 국가기관도 사칭하며 범죄 범위를 넓히고 있는 것으로 나타났다.
특히 랜섬웨어는 암호해제 조건으로 비트코인 등의 암호화폐를 요구해 추적수사에 어려움을 겪고 있다는 설명이다. 이에 경찰은 암호화폐 해외 전문가를 초청해 전문가 양성 교육을 실시하고, 관련 범죄에 선제적으로 대응한다는 계획이다.
■국가기관 사칭하는 랜섬웨어
21일 경찰청에 따르면 갠드크랩 랜섬웨어는 지방경찰서를 사칭하며 클릭을 유도하던 방식에서 다양한 국가 기관을 사칭하는 방식으로 범죄 양상을 다양화하고 있다.
지난달 경찰은 수원, 대구, 부산 등 전국 각 지역의 경찰서 이름으로 '온라인 명예훼손관련 출석 통지서'라는 제목의 랜섬웨어 이메일이 유포되고 있는 것으로 파악하고 수사를 진행한 바 있다.
그러나 경찰은 최근 들어 랜섬웨어가 경찰서 뿐만 아니라 한국은행, 헌법재판소 등을 사칭해 발송되고 있는 것으로 파악돼 수사 역량을 집중하고 있다.
사칭 이메일은 '로그인 횟수를 초과했다', '재판에 출두해야 한다'는 내용으로 압축된 첨부파일의 다운로드를 유도하고 있다. 압축파일에 포함된 파일을 문서로 착각하고 클릭하면 숨어 있던 랜섬웨어가 실행돼 이용자의 PC를 암호화하는 방식이다.
경찰청 사이버안전국 관계자는 "최근에는 메일 첨부파일이 아닌 링크를 클릭하도록 유도해 랜섬웨어 파일을 다운로드 받도록 유도하기도 한다"며 "사칭 이메일 대부분이 문맥에 맞지 않는 조악한 한국어로 적혀 있는 만큼 주의가 필요하다"고 당부했다.
갠드크랩에 감염된 PC 화면. 암호 해제 조건으로 비트코인 등 암호화폐를 요구하고 있다./사진=경찰청 제공
'갠드크랩' 등의 랜섬웨어는 암호 해제 조건으로 암호화폐를 요구하고 있어 추적수사에 어렵다. 암호화폐 지갑을 통한 추적을 막기 위해 불특정 다수의 지갑 주소를 뒤섞는 '믹싱' 수법을 이용하거나, 제 3자를 통해 코인 거래를 이용하는 등 관련 범죄는 갈수록 지능화되는 양상이다.
특히 '대시'·'모네로' 등 거래정보를 비공개해 익명성을 강화한 암호화폐(일명 다크코인)가 늘어나면서 추적이 한층 더 힘들어지고 있다고 경찰은 설명했다. '다크코인'은 도박·마약 범죄 등의 자금세탁책으로 보편화되고 있다. 국내에서도 지난 2017년 마약판매 대금으로 암호화폐를 받은 공급책이 검거된 바 있다.
■암호화폐 관련 범죄 '기승'
암호화폐에 대한 대중의 관심이 시들한 틈을 타 이를 이용한 범죄가 기승을 부리고 있는 셈이다.
경찰 관계자는 "한국 뿐 아니라 전 세계적으로 암호화폐를 규제할 제도나 법규가 충분치 않다"며 "암호화폐가 지갑에 들어오는 순간 주소를 암호화하거나, 추적이 어려운 다른 암호화폐로 '세탁'하는 등 양상이 고도화되고 있다"고 설명했다.
한편 경찰은 이달 중순 미국 민간업체 추적 전문가를 초청해 관련 교육을 실시하는 등 관련 범죄 대응 역량을 강화하고 있다. 암호화폐 전문 팀장과 수사관 등이 참석한 이 교육에서는 해외 전문가의 지도에 따라 실제 사건을 바탕으로 랜섬웨어·자금세탁 등에 대한 예제 풀이 등을 실시했다.
경찰 관계자는 "이론 학습보다는 암호화폐 추적에 대한 이해가 있는 수사관을 대상으로 실습 교육을 실시했다"며 "수사관들이 국제적 기준에 부합하는 역량을 갖출 수 있도록 하겠다"고 말했다.
bhoon@fnnews.com 이병훈 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지