랜섬웨어 감염시킨 PC 수리기사 검거 사례

오늘은 최근 큰 이슈가 되었던 해커가 아닌 수리기사가 PC에 랜섬웨어를 감염시킨 사례에 대해 소개하려고 합니다. 단순 고장 등으로 수리를 의뢰한 PC에 자체적으로 제작한 랜섬웨어를 감염시키거나, 실제 랜섬웨어에 감염된 기업이 복호화를 위해 해커와 협상하는데 필요한 돈을 부풀려서 3억원이 넘는 돈을 가로챈 수리기사들을 검거했다는 내용인데요. 이 기사를 접하고 나서, 이젠 PC 수리업체도 믿을 수 없겠다는 생각이 들었습니다. 자.. 그럼 이 내용에 대해 자세히 설명드려보도록 하죠.

​

저는 어렸을 때부터 기계랑 좀 친숙한 편이라 PC가 고장나도 웬만하면 PC 수리업체에 맡기지 않고 직접 고쳐왔는데요. 그런데 대부분의 사람들은 PC가 고장나면 수리업체에 맡기고 있죠. 이 고장에는 보통 특정 장치가 오래되서 성능이 저하되거나, 랜섬웨어에 걸려서 데이터 복구 해야하는 상황들도 포함됩니다. 하지만 저도 그렇고 대부분이 겪으셨을 걸로 생각되는데.. 별거 아닌 증상에도 단순히 접촉불량임에도 부품을 바꿔야한다는 등 바가지를 씌우는 경우가 많죠. 사실 출장 수리가 아니라 PC 자체를 맡겨야 한다면, 심각한 증상이 아님에도 수리기사가 PC에 무슨 짓을 해서 돈을 더 받을지 모르는 겁니다. 물론 모든 수리기사가 그렇다는 것은 아니지만.. 이 글을 다 읽으시게 되면 앞으로는 수리 업체에 PC를 쉽게 맡기시진 못할 것 같습니다.

​

일단 인용한 기사의 내용부터 간략하게 언급드려보도록 하죠. 랜섬웨어를 직접 감염시켜서 사기를 친 수리 기사들은 전국적으로 50여 명의 직원을 두고 있는 수리 업체의 일부 수리 기사들로, 직접 PC의 파일들을 암호화 시키는 랜섬웨어를 자체적으로 제작했다고 합니다. 사실 "파일을 암호화하는 랜섬웨어 동작 원리" 글에서 설명드렸듯이, 랜섬웨어를 만드는 것 자체는 크게 어렵지 않습니다. 암호화 키만 별도로 만들어 놓고, 파일 시스템을 돌면서 특정 확장자를 가진 파일을 암호화를 해주는 로직만 구현한다면 쉽게 만들 수 있는데요. 특히 요즘은 돈만 주면 랜섬웨어를 제작해주는 RaaS(Randsomware as a Service)도 존재하기 때문에 일반인도 쉽게 랜섬웨어를 만들 수 있죠.

​

그래서 저 수리기사는 단순 고장으로 인해 수리를 맡긴 고객의 PC에 원격으로 접근할 수 있는 백도어형 악성코드를 설치해두고, 얼마 뒤에 PC를 랜섬웨어에 감염시켰다고 합니다. 그럼 고객 입장에서는 이전에 수리를 맡긴 업체에 다시 요청을 할테고, 그러면 수리기사는 랜섬웨어에 감염되었으니 해커와 협상을 해야한다며 돈을 요구하겠죠. 사실 컴퓨터에 대해 잘 모르는 사람뿐만 아니라 저 같이 평소 컴퓨터와 친숙한 분들이라도 랜섬웨어에 감염되었다고 하면 딱히 할 수 있는게 없기 때문에, PC에 있는 데이터 복구를 위해 울며 겨자먹기로 수리기사에게 돈을 주고 해커와 협상을 해달라고 할 것 같습니다.

​

반면 기업에서 사용하는 PC가 랜섬웨어에 감염되어 데이터를 복구하기 위해 수리업체에 맡긴 경우는 해커와 협상하는 과정에서 실제 요구하는 돈이 1비트코인이라면, 수리기사는 해커가 3비트코인을 요구한다고 부풀려서 업체에게 돈을 더 받아냈다고 하는데요. 물론 이런 협상을 성공적으로 해서 데이터를 복구시킨 경우에야 어느 정도 수수료를 받아 갈 수 있지만 저렇게 사기를 치는 건 도를 넘었죠. 기업 입장에서는 직원의 PC가 감염되면 업무를 할 수 없고 복호화 키를 얻을 수 있는 상태도 아니기 때문에, 대부분 복구 업체에게 의뢰를 맡기게 되는데 수리 업체에서 이를 악용했다고 볼 수 있습니다.

​

여기까지 기사의 내용을 쭉 설명해드려봤구요. 사실 제가 개인적으로 궁금했던 건 어떻게 수리기사가 검거되었는지 였는데 이에 대해서는 기사에 언급되지 않았습니다. 수리기사가 해커처럼 전문적인 지식을 가지지 않았다고 했을 때 어떻게 검거되었는지 추측해보면.. 단순히 랜섬웨어를 만드는 건 쉬웠어도 피해자의 PC에 백도어를 설치하고 접근하는 과정에서, 원격 접속 또는 랜섬웨어 실행 같은 이벤트 로그 등의 흔적이 남아서 덜미를 잡히지 않았을까 싶은데요. 실제로 해커들이 해킹하는데 가장 많은 시간을 들이는 부분이 해킹 이후에 흔적을 지우는 것입니다. 이에 대한 전문지식이 없다면 피해자의 PC에서 접속 IP나 행위 등의 흔적을 지우는 것까지는 어렵지 않았을까라는 생각을 해봅니다.

 

PC 수리 맡겼더니 랜섬웨어 감염시킨 PC 수리기사들 검거

 

이번 글과 관계는 없지만 일반적으로 통계를 내보면 랜섬웨어에 감염되어 돈을 낸 기업 중 80%는 또 나중에 또 감염된다고 합니다. 백도어 심어놓고 지속적으로 협박을 하는 사례도 있기 때문인데요. 기업 입장에서는 랜섬웨어에 감염되고 데이터를 복구했다고 끝이 아니라, 추후 재발 방지를 위해 데이터 보호할 수 있는 대책을 세워야겠죠. 일반인 입장에서도 대응책이 필요할텐데, 위와 같은 사례 때문에 수리 업체에 맡기지 않고 직접 해커와 협상을 해야겠다는 생각을 할 수 있으실 것 같습니다. 사실 정답은 없습니다만.. 해커한테 돈을 준다고 해서 해결되는 것은 아니며, 돈만 받고 도망가는 경우도 있다는 것을 인지하셔야할 것 같습니다. 그렇기 때문에 중요한 데이터는 미리 백업해두는 습관을 가지도록 해야겠죠. 오늘 글은 조금 많이 길어졌는데.. 그래도 중요한 이슈라고 생각해서 자세히 적어봤습니다. 그럼 이만 줄이도록 하죠. 감사합니다.