[서울=뉴스핌] 박우진 기자 = 가상자산 수신 주소를 변경하는 악성프로그램을 유포해 17억원 상당의 가상자산을 가로챈 외국인 해커가 검거됐다.

경찰청 국가수사본부는 리투아니아 국적 29세 피의자 A씨를 인터폴과 리투아니아·조지아 법 집행기관과 공조로 조지아에서 검거 후 한국으로 송환해 구속했다고 28일 밝혔다.

A씨는 2020년 4월부터 2023년 1월까지 '윈도우즈'의 정품 인증 불법 프로그램으로 위장한 악성프로그램(KMSAuto)을 한국 등 전 세계에 280만회 유포했다.

악성 프로그램에 감염된 3100개 가상자산 주소 사용자들로부터 8400회에 걸쳐 17억원 상당의 가상자산을 가로챘다. 한국인 피해자는 8명이며 총 1600만원 상당의 피해를 입은 것으로 확인됐다.

경찰은 2020년 8월경, 비트코인 1개(당시 시세 약 1200만원)를 송금했는데 엉뚱한 주소로 송금돼 잃어버렸다는 신고를 받고 수사에 착수했다.

경찰은 피해자 컴퓨터에서 가상자산 전송시 수신주소를 해커의 주소로 자동 변경하는 일명 '메모리 해킹' 수법의 악성프로그램이 설치된 것을 확인했다.

악성프로그램은 피해자가 비정상적인 경로로 '윈도우즈' 정품 인증을 받기 위해 인터넷에서 내려받은 'KMSAuto'에 포함돼 있었다. 결국 정품 소프트웨어를 사용하지 않아서 피해가 발생한 셈이다.

경찰은 국내 가상자산 거래소는 물론이고 6개 국가 및 6개 해외 기업을 대상으로 A씨에게 흘러 들어간 가상자산을 추적해 한국인 피해자 7명을 추가로 확인했다.

악성프로그램 유포 경로와 기간, 피해자 규모와 범행수익 등 범행 전체를 규명하고 A씨의 인적사항을 특정할 수 있었다.

경찰은 리투아니아 법무부·경찰과 지난해부터 1년간 협의를 거쳐 지난해 12월 초, 형사사법공조로 리투아니아 당국과 공동으로 A씨 주거지를 급습해 압수수색영장을 집행했다. 휴대전화와 노트북을 비롯해 총 22점을 압수했다.

결정적 증거를 확보한 경찰은 A씨에 대해 인터폴 적색수배를 내렸고, 리투아니아에서 조지아로 입국 중이던 A씨는 지난 4월 조지아 경찰에 체포됐다.

한국 경찰과 법무부·검찰청은 조지아에 범죄인 인도를 요청했고, 수사 개시 5년 4개월 만에 마침내 신병을 송환해 검거할 수 있었다. 현재 A씨는 도주 및 증거인멸 우려로 구속됐다.

한편 경찰은 악성 프로그램을 이용한 범죄가 발생할 수 있는만큼 인터넷에 제공되는 파일의 출처를 확인하고, 정품 소프트웨어 사용과 백신 프로그램 설치를 권장했다.

박우현 경찰청 사이버수사심의관은 "악성프로그램으로 인한 다양한 피해를 예방하기 위해 출처가 불분명한 프로그램은 주의해야 한다"며 "앞으로도 사이버 범죄에 대해 전 세계 법 집행기관과 협력해 송환하는 등 엄정하게 대응할 예정이다"고 밝혔다.

krawjp@newspim.com