랜섬웨어로 업체 서버 공격, 비트코인 요구한 카자흐스탄인

등록 2026.04.15 10:00:00수정 2026.04.15 10:14:24

업체 서버 자주 사용 아이디 무작위 대입해 탈취

카자흐스탄 수사기관과 협력, 현지 검거 첫 사례

랜섬웨어 조직 총잭이 조직원들로부터 범죄 성과를 공유받는 화면 모습. (사진=경기남부경찰청 제공) *재판매 및 DB 금지

[수원=뉴시스] 양효원 기자 = 국내 업체 서버에 침입해 랜섬웨어 프로그램으로 데이터를 암호화한 뒤 이를 풀어주는 대가로 비트코인을 요구한 30대 카자흐스탄인이 경찰에 붙잡혔다.

경기남부경찰청 사이버수사과는 A(35·카자흐스탄 국적)씨를 정보통신망법 위반(악성프로그램유포), 공갈미수 등 혐의로 검거했다고 15일 밝혔다.

랜섬웨어 조직 총책인 A씨는 2022년부터 지난해 7월까지 해외 메신저를 통해 조직원들에게 여러 국내 업체 서버에 침입, 랜섬웨어 프로그램을 이용해 데이터를 암호화 하고 비트코인 등을 요구토록 지시하거나 직접 범행한 혐의를 받는다.

경찰은 2022년 9월께 피해 업체 신고를 접수하고 랜섬웨어에 감염된 서버를 분석, 범행에 사용한 카자흐스탄 IP 주소를 확보했다. 이어 카자흐스탄과 형사사법공조·화상 회의 등을 통해 A씨 신원을 특정했다.

이후 카자흐스탄 수사기관인 국가안전위원회(NSC, National Security Committee)와 현지 공조 작전을 추진, 지난해 7월 카자흐스탄 알마티에 있는 A씨 주거지를 압수수색했다.

당시 압수 현장에서는 다수 국내 업체 등 서버를 대상으로 실시간 랜섬웨어 공격이 이뤄지고 있던 상태였다. 경찰은 범행을 즉시 중단시키고 휴대전화와 PC 등 범행 관련 물품 일체를 압수했다.

A씨는 국내 업체들이 설치해 운영하는 서버의 기본(디폴트) 아이디와 비밀번호를 변경하지 않거나 단순한 문자열로 설정한다는 점을 노렸다. 자주 사용되는 계정정보를 무작위로 대입하고, 시스템 권한을 탈취한 뒤 공격한 것.

경찰이 카자흐스탄 수사기관과 공조해 현지에서 피의자 주거지를 압수수색 하는 모습. (사진=경기남부경찰청 제공) *재판매 및 DB 금지

경찰은 A씨 여죄 등에 대해 수사를 이어간다는 방침이다.

경찰 관계자는 "이번 작전은 경찰이 카자흐스탄 수사기관과 협력해 현지에서 직접 검거에 참여한 첫 사례"라며 "국제공조를 확대해 랜섬웨어 범죄 근절에 총력을 기울일 것"이라고 말했다.

이어 "범죄조직이 기본 설정된 계정정보를 입력하거나 무작위 계정 대입 방식으로 침입, 랜섬웨어 공격을 하고 있다"며 "정기적 비밀번호 갱신, 다단계 인증 적용, 접근 통제 및 계정 사용 이력 점검 등 기본 보안 조치를 철저히 이행해야 한다"고 당부했다.

경찰은 이번 수사 과정에서 확보한 랜섬웨어 복호화 관련 기술 정보를 한국인터넷진흥원(KISA) 등 관련 기관과 공유, 피해확산을 방지하는 등 랜섬웨어에 대한 대응도 강화해 나갈 예정이다.

◎공감언론 뉴시스 [email protected]