가상자산 수신주소를 몰래 변경하는 악성프로그램을 유포해 전 세계 이용자들로부터 거액의 가상자산을 편취한 외국인 해커가 인터폴 공조 수사 끝에 검거돼 국내로 송환됐다.

경찰청 국가수사본부는 가상자산 편취 악성프로그램을 제작·유포한 혐의로 피의자 A씨(29·리투아니아 국적)를 조지아에서 검거해 한국으로 송환하고 구속했다고 밝혔다. 이번 검거는 인터폴과 리투아니아, 조지아 법집행기관과의 긴밀한 국제 공조를 통해 이뤄졌다.

A씨는 2020년 4월부터 2023년 1월까지 ‘윈도우즈 정품 인증 프로그램’으로 위장한 악성프로그램(KMSAuto)을 제작해 한국을 포함한 전 세계에 약 280만 회 유포한 혐의를 받고 있다. 

 가상자산 절취 악성프로그램 유포사건 개요도/이미지=경찰청 국가수사본부 제공

이 악성프로그램은 가상자산 전송 과정에서 수신주소를 해커의 주소로 자동 변경하는 이른바 ‘메모리 해킹’ 수법을 사용했으며, 이를 통해 3100개의 가상자산 주소 이용자들로부터 총 8400회에 걸쳐 약 17억 원 상당의 가상자산을 편취한 것으로 조사됐다. 국내 피해자는 8명으로, 피해 금액은 약 1600만 원에 달한다.

경찰 수사는 2020년 8월 ‘비트코인 1개를 송금했으나 엉뚱한 주소로 전송돼 자산을 잃었다’는 신고를 계기로 시작됐다. 조사 결과, 피해자의 컴퓨터에는 가상자산 전송 시 수신주소를 자동으로 변조하는 악성프로그램이 설치돼 있었으며, 해당 프로그램은 비정상적인 경로로 내려받은 윈도우즈 불법 인증 프로그램(KMSAuto)에 포함돼 있었던 것으로 확인됐다.

경찰은 국내 가상자산거래소와 함께 6개 국가, 해외 6개 기업을 상대로 가상자산 흐름을 추적하며 추가 국내 피해자 7명을 특정하는 한편, 악성프로그램 유포 경로와 범행 기간, 전체 피해 규모 및 범죄수익을 규명했다. 이를 통해 리투아니아에 거주하던 A씨의 신원을 특정할 수 있었다.

이후 경찰은 2024년부터 리투아니아 법무부 및 경찰과 약 1년간 협의를 이어가며 강제수사를 추진했고, 지난해 12월 초 법무부와 검찰청을 통한 형사사법 공조로 리투아니아 당국과 함께 A씨의 주거지를 급습해 압수수색을 실시했다. 이 과정에서 휴대전화와 노트북 등 총 22점의 증거물을 확보했다.

결정적 증거를 확보한 경찰은 A씨를 국내에서 처벌하기 위해 인터폴에 적색수배를 요청했으며, A씨는 리투아니아에서 조지아로 이동하던 중 지난 4월 조지아 경찰에 의해 체포됐다. 이후 한국 경찰과 법무부, 검찰청이 공조해 조지아 측에 범죄인 인도를 요청했고, 수사 개시 5년 4개월 만에 신병을 확보해 국내로 송환하는 데 성공했다. 현재 A씨는 도주 및 증거인멸 우려로 구속된 상태다.

경찰은 이번 사건이 외국인이 해외에서 한국인을 상대로 저지른 사이버범죄에 대해 대한민국 법집행기관이 국제 공조를 통해 끝까지 추적·검거한 사례라는 점에서 의미가 크다고 평가했다.

박우현 경찰청 사이버수사심의관은 “악성프로그램으로 인한 피해를 예방하기 위해 출처가 불분명한 프로그램 설치에 각별한 주의가 필요하다”며, “앞으로도 국경 없는 사이버범죄에 대해 전 세계 법집행기관과 협력해 엄정하게 대응하겠다”고 밝혔다.

[경제엔미디어=장민철 기자]