윈도 정품 인증 우회하다 17억 털렸다... 리투아니아 해커, 5년 추적 끝에 한국 송환

대한민국 경찰이 악성 프로그램을 이용해 전 세계에서 17억 원 상당의 가상자산을 탈취한 리투아니아 국적 해커를 5년여의 추적 끝에 국내로 송환하는 데 성공했다. 이번 사건은 불법 소프트웨어 사용자들의 취약점을 노린 새로운 유형의 사이버 범죄가 국경을 넘어 확산되고 있음을 보여주는 동시에, 한국 사법당국의 국제 공조 역량을 입증한 사례로 평가된다.

경찰청 국가수사본부는 28일, 악성코드가 심어진 윈도우 정품 인증 프로그램을 유포해 가상자산을 빼돌린 혐의로 리투아니아 국적의 29세 남성 A씨를 인천국제공항을 통해 국내로 송환했다고 밝혔다. 이는 외국인 해커가 해외에서 한국인을 대상으로 사이버 범죄를 저지른 후 한국으로 송환된 최초의 사례다.

◆ 정품 찾다 악성코드 설치... 사용자 스스로 보안 무력화

A씨의 범행 수법은 윈도우 운영체제의 불법 사용자들을 겨냥한 것이었다. 그는 2020년 4월부터 2023년 1월까지 약 2년 9개월간 마이크로소프트 윈도우의 정품 인증을 우회해주는 'KMSAuto(케이엠에스오토)'라는 프로그램에 악성코드를 숨겨 파일 공유 사이트와 웹하드를 통해 유포했다.

문제는 이 프로그램의 특성상 백신 프로그램이 '위험 도구'로 탐지한다는 점이었다. A씨는 이를 악용해 배포 사이트에 "원활한 설치를 위해 백신 프로그램을 끄시오"라는 안내 문구를 게시했고, 정품 인증을 원하던 사용자들은 스스로 윈도우 디펜더 같은 보안 프로그램을 비활성화한 채 악성코드를 설치했다. 전 세계적으로 약 280만 회 다운로드가 이뤄진 것으로 집계됐다.

일단 시스템에 침투한 악성코드는 사용자의 클립보드를 실시간으로 감시했다. 가상자산 지갑 주소는 비트코인의 경우 26자에서 35자에 이르는 복잡한 영문과 숫자의 조합으로 구성돼 있어, 사용자들은 주소를 직접 입력하지 않고 복사 후 붙여넣기 기능을 사용한다. 악성코드는 바로 이 순간을 노렸다.

클립보드에 가상자산 지갑 주소가 복사되면, 악성코드는 이를 해커가 미리 설정해둔 자신의 지갑 주소로 즉시 바꿔치기했다. 사용자가 붙여넣기를 실행하는 순간 화면에는 해커의 지갑 주소가 입력됐지만, 대부분의 사용자는 주소의 처음과 끝 몇 자리만 대충 확인하는 습관 때문에 이를 눈치 채지 못한 채 전송 버튼을 눌렀다. 블록체인의 특성상 한 번 전송된 거래는 되돌릴 수 없기에, 피해는 그대로 확정됐다.

◆ 5년 4개월 추적... 블록체인 분석으로 범인 특정

사건의 단초는 2020년 8월 한국의 한 피해자가 자신의 비트코인 1개가 엉뚱한 주소로 전송된 사실을 발견하고 경찰에 신고하면서 시작됐다. 당시 시세로 약 1천200만 원 상당이었다.

경찰청 사이버수사국은 블록체인 네트워크상의 자금 흐름을 추적하는 온체인 분석 기법을 동원했다. 국내는 물론 해외 6개국의 가상자산 거래소 및 관련 기업들과 협력해 탈취된 자산의 이동 경로를 파악한 결과, 감염된 지갑 주소만 3천100여 개, 탈취 횟수는 8천400여 회에 달했으며, 총 피해액은 17억 원 규모로 밝혀졌다. 한국인 피해자는 8명으로 피해액은 약 1천600만 원이었다.

경찰은 악성 프로그램의 유포지 서버와 가상자산의 최종 인출 지점을 역추적해 2023년 4월 피의자가 리투아니아 국적의 A씨임을 특정했다. 같은 해 12월에는 리투아니아 현지 경찰과 합동으로 A씨의 주거지를 급습해 노트북과 휴대전화 등 디지털 증거물 22점을 확보했으나, 당시 A씨의 신병은 확보하지 못했다.

경찰청은 즉시 인터폴을 통해 A씨에 대한 적색수배를 발령했다. 2024년 4월, 도피 중이던 A씨는 리투아니아를 떠나 조지아로 입국을 시도하다 조지아 국경 수비대에 체포됐다.

◆ 범죄인 인도 조약 없는 제3국에서 송환 성공

이후 과정은 외교적 난제였다. 한국과 조지아 사이에는 범죄인 인도 조약이 체결돼 있지 않았다. 통상 조약이 없으면 범죄인 인도는 피청구국의 재량 사항이다.

한국 법무부와 경찰청은 약 1년 8개월간의 법리 검토와 외교적 협의를 진행했다. "향후 조지아가 유사한 사안으로 한국에 범죄인 인도를 요청할 경우 적극 협조하겠다"는 상호주의 원칙을 제시했고, 유럽평의회 범죄인 인도 협약 등 국제 규범을 근거로 조지아 당국을 설득했다.

특히 A씨의 행위가 한국과 조지아 양국 법률 모두에서 범죄로 규정되는 '이중 범죄성'을 충족한다는 점을 입증하는 것이 관건이었다. 수사팀은 블록체인 추적 보고서와 악성코드 분석 리포트 등을 조지아 법원에 제출해 단순한 프로그램 유포가 아닌 적극적인 기망 및 재산 탈취 행위임을 증명했다.

이러한 노력 끝에 12월 A씨는 인천국제공항을 통해 한국으로 송환됐다. 박우현 경찰청 사이버수사심의관은 "국경 없는 사이버 범죄에 대해 엄정 대응함으로써 피해 회복과 정의 실현이라는 국가의 기본 책무를 다한 사례"라고 밝혔다.

◆ 디지털 범죄로 전환하는 조직범죄... 피해액 보다 중요한 것

이번 사건이 갖는 의미는 단순한 범죄자 검거를 넘어선다. 경찰청 통계에 따르면 2024년 대한민국 조직폭력 범죄 유형 중 디지털 범죄가 1천330명으로 전체의 56.3퍼센트를 차지하며 처음으로 과반을 넘어섰다. 2021년 5.1퍼센트에 불과했던 것이 3년 만에 10배 이상 폭증한 것이다. 전통적인 폭력 범죄는 645명으로 27.3퍼센트에 그쳤다.

20대와 30대 조직원들은 위험 부담이 크고 수익성이 낮은 폭력 행사 대신 기술적 진입 장벽이 낮아진 보이스피싱, 가상자산 사기 등 사이버 범죄로 대거 이동하고 있다. 불법 소프트웨어를 미끼로 한 이번 사건 같은 수법 역시 물리적 접촉 없이 고수익을 올릴 수 있는 범죄 모델로 자리 잡고 있다.

주목할 점은 한국인 피해액이 1천600만 원이라는 비교적 소액임에도 불구하고, 경찰이 5년 이상의 시간과 막대한 행정력을 투입해 송환을 성사시켰다는 것이다. 이는 피해 금액의 다과를 떠나 "한국인을 대상으로 범죄를 저지르면 지구 끝까지 쫓아가 처벌한다"는 강력한 메시지를 전 세계 사이버 범죄자들에게 발신한 것이다.

◆ 불법 소프트웨어 사용, 결국 더 큰 피해로

전문가들은 정품 소프트웨어 사용을 권장하는 동시에, 불가피하게 불법 프로그램을 사용하더라도 보안 프로그램을 끄지 말고, 가상자산 전송 시 주소 전체를 꼼꼼히 확인하는 습관이 필요하다고 조언한다. 또한 클립보드 하이재킹 같은 새로운 수법에 대한 대국민 예방 교육도 시급한 상황이다.

한편 한국 경찰은 지난 11월 서울에서 개최된 '브레이킹 체인스(Breaking Chains)' 컨퍼런스를 주도하며 국제 사이버 범죄 대응의 주도적 행위자로 부상하고 있다. 미국, 중국, 일본 등 16개국 치안 총수와 인터폴, 유엔마약범죄사무소 관계자들이 참석한 이 회의에서 24건의 주요 조직범죄 사례와 75건의 수사 단서가 공유됐다.

2024년 상반기 기준 한국 경찰의 국외 도피 사범 송환 실적은 219명으로 전년 동기 대비 12.9퍼센트 증가했다. 경찰청은 주요 국외 도피 사범 집중 관리 체계를 도입해 도피 사범을 핵심·중점·일반 등급으로 분류하고 수사 역량을 집중하고 있다.

#사이버범죄 #가상자산탈취 #불법소프트웨어 #국제공조수사 #클립보드해킹