24만대 셋톱박스에 업데이트·출하 전 탑재
해외 고객사 “경쟁업체 재공격하겠다” 요청 수락
임직원 5명과 법인 송치…61억 기소전 추징보전

위성방송을 수신하는 셋톱박스 24만대에 디도스(DDos) 공격용 프로그램을 탑재해 수출한 코스닥 상장사가 경찰에 적발됐다. 국내 제조사가 제품에 디도스 공격 기능을 심어 수출한 사례가 확인된 건 이번이 처음이다.

28일 경찰청 국가수사본부 사이버테러수사대는 셋톱박스를 제조하는 코스닥 상장사 A사의 대표 등 임직원 5명과 법인을 최근 서울동부지검에 송치했다. 이들은 해외 수입업체 B사의 요청에 따라 2019년부터 지난 9월까지 공격 대상을 특정하면 대량의 트래픽을 일으켜 마비시키는 디도스 공격 프로그램을 전달하고 유포한 혐의(정보통신망법 위반)를 받는다. 앞서 지난 7월 인터폴로부터 관련 첩보를 입수한 경찰은 유럽에서 유통 중인 중고 셋톱박스에서 디도스 공격 기능을 확인하고 업체를 압수수색했다.

경찰의 수사 결과, A사는 이듬해 11월쯤 ‘경쟁업체로부터 디도스 공격을 받고 있다’면서 ‘재공격을 위한 디도스 공격 기능을 추가해달라’는 B사의 요청을 받았다. 이에 A사는 기존에 제조·수출한 제품 약 14만대에는 2019년 1월부터 올해 9월까지 펌웨어 업데이트를 통해 직접 만든 디도스 공격용 악성 프로그램을 설치한 혐의를 받는다. 또한 2019년 3월부터 2021년 11월까지 B사에 수출한 9만 8000대는 제품 출하 단계부터 악성 프로그램을 깔았다.

경찰은 A사가 2017년부터 거래한 주요 고객사 B사가 중국 등 다른 저가 경쟁업체로 이탈을 막기 위해 B사의 요구를 들어준 것으로 보고 있다. A사가 수출한 셋톱박스는 B사가 넷플릭스 등 OTT(온라인동영상서비스)나 위성방송을 무료로 볼 수 있는 애플리케이션을 추가한 뒤 유럽이나 북아프리카 등 지역에서 팔린 것으로 파악됐다. 정보통신망법 위반 소지나 저작권법 위반 가능성에 대해선 A사는 알지 못했다는 입장이다.

경찰은 셋톱박스 9만 8000대의 매출액을 범죄 수익금으로 보고 이달 초 법원에 기소전 추징보전을 신청했다. 법원이 이를 받아들이면서 A사는 지난해 매출액 20% 수준인 자산 61억원이 가압류된 상태다. 경찰은 검거하지 못한 B사 관계자 1명을 지명수배하고 국제공조 수사를 이어갈 예정이다.

경찰청 관계자는 “제품을 수출할 때 해외 업체의 요구를 무조건 수락하면 처벌받을 수 있다”면서 “디도스 공격에 사용된 장비가 한국산이라는 오명이 씌워진 국제적 사이버 범죄에 엄정 대응하겠다”고 밝혔다.