악성 프로그램을 유포해 약 17억원 가상자산을 편취한 리투아니아 국적 남성이 경찰에 붙잡혔다.
경찰청 국가수사본부는 가상자산 수신주소를 변경하는 악성프로그램을 유포하고 이에 감염된 사람들로부터 가상자산을 편취한 남성 A씨(리투아니아 국적·29)를 인터폴 및 리투아니아·조지아 법집행기관과 공조해 구속했다고 28일 밝혔다. 경찰은 A씨를 조지아에서 검거한 뒤 한국으로 송환시켰다.
A씨는 2020년 4월부터 2년 9개월간 '윈도우즈' 정품 인증 불법 프로그램으로 위장한 악성프로그램(KMSAuto)을 한국 등 전 세계에 280만회 유포했다. 그는 3100개 감염된 가상자산 주소 사용자들로부터 8400회에 걸쳐 17억원 상당 가상자산을 빼돌렸다. 한국인 8명도 약 1600만원 피해를 보았다.
경찰은 2020년 8월 비트코인 1개를 송금했는데 엉뚱한 주소로 송금돼 잃어버렸다는 신고를 접수했다. 해당 비트코인은 당시 시세로 약 1200만원이었다.
피해자 컴퓨터에서는 가상 자산 전송 시 수신주소를 해커 주소로 자동 변경하는 이른바 '메모리 해킹' 수법의 악성프로그램이 설치돼 있었다. 피해자가 비정상적 경로로 윈도우즈 정품 인증을 받기 위해 인터넷에서 KMSAuto를 내려받으면서 악성 프로그램도 설치됐다.
경찰은 국내 가상자산거래소와 6개 국가 및 해외 6개 기업을 대상으로 A씨에 흘러 들어간 가상자산을 추적했고 한국인 피해자가 7명 더 있다는 사실을 확인했다. 악성프로그램 유포경로와 기간, 피해자 규모와 범행수익 등 범행 전체를 규명했고 A씨 신원을 특정했다.
경찰은 지난해부터 1년간 리투아니아 당국과 협의해 A씨에 대한 강제수사에 착수했다. 지난해 12월에는 형사사법공조를 통해 리투아니아 당국과 공동으로 A씨 주거지를 급습해 휴대전화 및 노트북 등 22점을 압수했다.
범행에 대한 결정적 단서를 확보하고 나서는 A씨를 한국에서 처벌하기 위해 인터폴 적색 수배했다. A씨는 지난 4월 리투아니아에서 조지아로 입국하다 조지아 경찰에 체포됐다. 한국 정부는 조지아에 범죄인 인도를 요청했고 수사 시작 5년 4개월 만에 한국에 송환해 검거했다.
박우현 경찰청 사이버수사심의관은 "악성프로그램으로 인한 다양한 피해를 예방하기 위해 출처가 불분명한 프로그램은 주의해야 한다"며 "앞으로도 경찰은 국경 없는 사이버 범죄에 대해 전 세계 법집행기관과 협력해 송환하는 등 엄정 대응할 예정"이라고 말했다.