윈도 인증인 줄 알았는데…가상자산 17억 턴 외국 해커 송환 구속

등록 2025.12.28 09:00:00수정 2025.12.28 09:20:24

윈도 정품 인증 위장 악성코드 280만회 유포

인터폴 수배로 검거…5년여 추적 끝 국내 송환

[서울=뉴시스]가상자산 편취 악성프로그램을 유포한 혐의를 받는 리투아니아 국적 A씨가 인터폴 공조로 검거돼 국내로 송환됐다. 사진은 경찰청 국가수사본부 수사관들이 리투아니아 현지에서 A씨 신병을 확보하는 모습. (사진=경찰청 제공)

[서울=뉴시스]최은수 기자 = 가상자산 전송 과정에서 수신 주소를 몰래 바꾸는 악성프로그램을 전 세계에 유포해 수십억원대 가상자산을 편취한 외국인 해커가 인터폴 공조로 검거돼 국내로 송환됐다. 경찰은 수사 개시 5년 4개월 만에 신병을 확보해 구속했다.

경찰청 국가수사본부는 가상자산 수신 주소를 변경하는 악성프로그램을 유포해 가상자산을 편취한 혐의(컴퓨터등사용사기 등)로 리투아니아 국적 A(29)씨를 구속했다고 29일 밝혔다. A씨는 인터폴 적색수배를 통해 조지아에서 검거된 뒤 한국으로 송환됐다.

A씨는 2020년 4월부터 2023년 1월까지 '윈도우즈' 정품 인증 프로그램으로 위장한 불법 프로그램(KMSAuto)에 악성코드를 심어 한국을 포함한 전 세계에 약 280만회 유포한 혐의를 받는다. 이 악성코드는 가상자산 전송 시 사용자가 입력한 수신 주소를 해커의 주소로 자동 변경하는 이른바 '메모리 해킹' 수법을 사용했다.

그 결과 감염된 3100개 가상자산 주소에서 8400회에 걸쳐 약 17억원 상당의 가상자산이 A씨 측으로 흘러 들어갔다. 국내 피해자는 8명으로, 피해액은 총 1600만원 상당이다.

경찰은 지난 2020년 8월 "비트코인 1개를 송금했는데 엉뚱한 주소로 전송돼 사라졌다"는 피해 신고로 수사에 착수했다.

조사 결과 피해자는 정품 인증을 받기 위해 인터넷에서 내려받은 KMSAuto 프로그램을 사용했고, 이 파일에 악성코드가 포함돼 있던 것으로 드러났다. 경찰은 악성프로그램 유포 경로와 범행 기간, 피해 규모, 범행 수익 전반을 추적하며 국내 가상자산거래소는 물론 6개국 법집행기관과 해외 6개 기업과 공조 수사를 진행했다.

이 과정에서 한국인 피해자 7명이 추가로 확인됐고, 범행에 사용된 가상자산 흐름을 역추적해 리투아니아 거주자인 A씨의 신원을 특정했다. 경찰은 리투아니아 사법당국과 2024년부터 약 1년간 협의를 이어가며 강제수사에 나섰다.

지난해 12월 초에는 법무부와 검찰청을 통한 형사사법공조로 리투아니아 당국과 함께 A씨 주거지를 급습해 압수수색을 벌였고, 휴대전화와 노트북 등 전자기기 22점을 확보했다. 이후 범행을 입증할 핵심 증거를 확보한 경찰은 A씨를 인터폴에 적색수배했다.

A씨는 리투아니아에서 조지아로 이동하던 중 지난 4월 조지아 경찰에 체포됐다. 한국 경찰과 법무부, 검찰청은 조지아 당국에 범죄인 인도를 요청했고, 5년 4개월 만에 A씨 신병을 국내로 송환하는 데 성공했다. 현재 A씨는 도주와 증거인멸 우려로 구속된 상태다.

경찰은 이번 사건이 해외에 거주하는 외국인이 한국인을 상대로 저지른 사이버 범죄를 초국가적 공조 수사로 끝까지 추적해 검거했다는 점에서 의미가 크다고 평가했다.

박우현 경찰청 사이버수사심의관은 "악성프로그램으로 인한 다양한 피해를 예방하기 위해서 출처가 불분명한 프로그램은 주의해야 한다"며 "앞으로도 경찰은 국경 없는 사이버 범죄에 대해 전 세계 법집행기관과 협력해 송환하는 등 엄정하게 대응할 예정이다"라고 밝혔다.

◎공감언론 뉴시스 [email protected]