경찰청 국가수사본부(본부장 박성주)가 가상자산 수신주소를 몰래 변경하는 악성프로그램을 대규모로 유포해 국내외 이용자들로부터 가상자산을 편취한 혐의의 리투아니아 국적 외국인 해커 A씨(29)를 인터폴 및 리투아니아·조지아 법집행기관과의 공조를 통해 체포, 한국으로 송환해 구속했다고 밝혔다.

경찰에 따르면 A씨는 2020년 4월부터 2023년 1월까지 ‘윈도우즈’ 정품 인증 불법 프로그램으로 위장한 악성프로그램(KMSAuto)을 전 세계를 대상으로 약 280만 회 유포했다. 이 과정에서 프로그램에 감염된 3,100개 가상자산 주소 사용자들로부터 총 8,400회에 걸쳐 약 17억 원 상당의 가상자산을 빼돌린 것으로 확인됐다. 이 가운데 한국인 피해자는 8명으로 피해액은 총 1,600만 원으로 파악됐다.

수사는 2020년 8월 “비트코인 1개(당시 시세 약 1,200만 원)를 송금했는데 엉뚱한 주소로 송금돼 사라졌다”는 신고에서 시작됐다.

경찰은 피해자의 컴퓨터를 분석하던 중 가상자산 송금 시 수신주소를 해커 주소로 자동 변경하는 ‘메모리 해킹’ 방식의 악성프로그램이 설치돼 있음을 확인했다. 프로그램은 비정상적인 경로로 내려받은 ‘위조 윈도우 정품 인증 프로그램(KMSAuto)’ 내부에 포함돼 있었던 것으로 드러났다.

이후 경찰은 국내 가상자산거래소뿐 아니라 해외 6개 국가와 6개 기업을 대상으로 범죄 수익 추적을 진행하며 한국인 피해자 7명을 추가로 확인하고, 악성프로그램 유포 경로와 기간, 피해 규모와 범행 수익 전반을 규명했다. 수사 과정에서 리투아니아에 거주 중인 A씨 신원도 특정됐다.

경찰은 리투아니아 법무부·경찰과 약 1년에 걸친 협의 끝에 A씨에 대한 강제수사를 추진했고 지난해 12월 초 형사사법공조를 통해 리투아니아 당국과 공동으로 그의 주거지를 급습해 압수수색을 실시, 휴대전화와 노트북 등 총 22점을 확보했다. 이후 인터폴 적색수배가 내려진 가운데 조지아로 이동 중이던 A씨는 올해 4월 조지아 경찰에 체포됐다.

한국 경찰은 법무부·검찰청과 협력해 조지아에 범죄인 인도를 요청했고 수사 개시 5년 4개월 만에 A씨를 국내로 송환해 결국 신병을 확보했다. 현재 A씨는 도주 및 증거 인멸 우려로 구속된 상태다.

경찰은 이번 사건에 대해 “외국인이 해외에서 한국인을 대상으로 벌인 사이버범죄를 초국가적 협력을 통해 끝까지 추적·검거한 사례”라는 점에서 의미를 두고 있다.

경찰청 박우현 사이버수사심의관은 “악성프로그램으로 인한 다양한 피해를 예방하기 위해 출처가 불분명한 프로그램 사용을 특히 주의해야 한다”며 “앞으로도 국경 없는 사이버범죄에 대해 전 세계 법집행기관과 협력해 송환 등 엄정 대응을 이어가겠다”고 밝혔다.