[지능범죄, 당신을 노린다] <24>전국 PC방 해킹 사건

※사기를 포함한 지능범죄는 정보기술(IT)의 발달과 함께 더욱 고도화하고 있습니다. 일확천금의 미끼에 낚이는 순간, 당신도 피해자가 될 수 있습니다. <한국일보>가 격주 화요일 연재하는 지능범죄 시리즈에서는 그 덫을 피해가는 지혜까지 전해드립니다.

[저작권 한국일보]인터넷 사기도박/ 강준구 기자/2020-02-24(한국일보)

‘이 PC방만 오면 왜 이렇게 쉽게 지는 걸까. 내 패를 훤히 아는 거 같다.’

2013년 40대 A씨는 충북의 한 PC방을 이용할 때마다 이런 의문을 떨치지 못했다. 포커와 섰다(화투장 두 장의 끗수가 가장 높은 사람이 돈을 따는 노름)를 주로 했던 A씨의 게임방에는 패를 전부 아는 듯한 참가자가 꼭 한 명씩 있었기 때문이다. ‘일팔광땡’(두 번째로 높은 패)이 들어와 판돈을 잔뜩 올리면 갑자기 ‘암행어사’(광땡만 잡는 특수 패)를 꺼내는 식이었다.

한두 판이면 그러려니 했겠지만 몇 주째 같은 패턴이 반복되자 A씨는 ‘패보기 도박’까지 의심했다. 당시에는 상대방의 컴퓨터에 패를 볼 수 있는 악성코드를 심어 놓고 온라인 사기 도박을 벌인다는 소문이 돌았다.

강한 의심에도 PC방 주인의 설명을 들으면 도무지 있을 수 없는 일이었다. 해당 PC방은 한 주에 한 번 이상 백신 프로그램을 돌려 악성코드를 걸러낸다고 했다. A씨가 PC방의 특정 컴퓨터만을 사용하는 것도 아니었다. 그날그날 빈 자리 아무 곳이나 앉았다. 누군가가 며칠 간격으로 이동식저장장치(USB)를 들고 다니며 PC방의 모든 컴퓨터에 일일이 악성코드를 심지 않는 한 패보기 도박은 현실성이 없어 보였다.

A씨의 생각과 달리 해킹에는 한계가 없었다. 불가능해 보였던 ‘온라인 패보기 사기 도박’의 실체는 3년 뒤 경찰 수사로 드러났다. 주범 양모(39)씨와 이모(40)씨는 2013년 4월부터 전국의 PC방 7,459곳의 컴퓨터 46만여 대에 악성코드를 유포한 혐의로 잇따라 법정에 섰다. 온라인 사기 도박으로 벌어들인 돈은 40억원에 달했다.

이들이 악성코드를 설치한 컴퓨터 46만 여대는 당시 PC방 전체 컴퓨터의 66%에 해당하는 규모였다. 2009년 북한의 디도스(DDoSㆍ분산서비스거부) 공격 때 피해를 본 컴퓨터 27만대를 가뿐히 뛰어 넘었다. 고도로 훈련된 북한의 정예 해커들의 공격보다도 더 광범위한 악성코드 유포가 단 두 명의 주도로 이뤄졌다.

◇투자자가 공범이 되기까지

24일 경찰청 사이버테러수사팀 인터뷰와 양씨 및 이씨의 법원 판결문 등을 종합하면 두 사람은 2010년에 개발자와 투자자로 처음 만났다. 이씨는 16년차 개발자였지만 그리 성공적인 커리어를 갖고 있진 않았다. 게임 개발회사 여러 곳에서 일한 후 자기 회사를 차린 뒤엔 고전을 거듭했다. 단단한 외모의 양씨는 대부업으로 수십억원을 벌어들이며 자수성가한 사업가였다.

돈이 생기면 명예가 탐난다고 했던가. ‘정보기술(IT) 벤처 사업가’ 타이틀을 갖고 싶었던 양씨는 지인을 통해 소개받은 이씨의 게임 회사에 8억원을 투자했다.

투자자와 개발자의 합법적 관계는 그리 오래 가지 않았다. 이씨가 사업에 실패하며 2013년 1월쯤 양씨의 투자금은 거의 바닥났다. 투자금은 어느새 ‘빚’으로 둔갑해 있었다. 양씨는 이씨에게 투자금을 상환하라며 으름장을 놨다. 폭력을 동원한 건 아니었지만 단순한 개발자였던 이씨에겐 큰 부담이었다.

양씨는 이씨에게 온라인 사기 도박장을 운영하자고 제안했다. 안 그래도 투자금 상환 압박을 받았던 이씨로서는 거절하기 힘들었다. 이씨가 해야 할 일은 크게 두 가지였다. 상대 패를 보여주는 악성코드를 제작한 뒤 유포하는 것이었다.

16년차 개발자였던 이씨에게 악성코드 제작은 일도 아니었다. 한 달도 걸리지 않아 도박 게임 화면을 캡처해 실시간으로 자신의 PC에 전송하는 프로그램을 만들었다. 혹시 모를 단속을 피하기 위해 캡처 사진 전송 서버는 해외에 뒀다. 투박하지만 확실한 해킹 프로그램이었다.

문제는 악성코드 유포 방법이었다. 악성코드를 개발했어도 표적 컴퓨터에 심을 수 없다면 모든 게 허사였다. 악성코드 유포는 모든 해커들이 가장 어려워하는 작업이다.

◇‘관리 프로그램’ 잡자 해킹의 신기원이

이씨에게 PC방을 일일이 돌아다니며 악성코드를 하나씩 컴퓨터에 심는 방법은 너무 비효율적이었다. 품이 많이 들었고 애써 깐 악성코드가 백신 프로그램에 걸려 삭제되면 똑같은 작업을 반복해야 했다. 더 확실하고 세련된 방법이 있을 게 분명했다.

여기서 이씨의 아이디어가 반짝였다. 이씨는 양씨에게 ‘PC방 관리 프로그램’ 업체를 인수하자고 제안했다. 모든 PC방 컴퓨터에는 컴퓨터를 관리하는 프로그램이 설치돼있다. 요금을 계산하거나 게임을 업데이트할 때 쓴다. 특정 파일을 컴퓨터에 설치하는 것도 가능하다. 이 프로그램만 장악하면 언제든 버튼 하나로 관련 PC방의 모든 컴퓨터를 감염시킬 수 있다. 합법적 사업에는 실패한 이씨인데 애꿎은 타이밍에 ‘대담한 발상’이 나왔다.

2013년 3월쯤 양씨는 5억원에 PC방 관리 프로그램 업체 P사를 인수했다. 오랫동안 게임 회사를 운영한 이력 덕에 인수 과정에서 어떤 의심도 받지 않았다. PC방 관리 프로그램 업계가 과열 경쟁에 들어가기 직전이라 P사의 점유율은 상당했다. 전국 PC방의 40% 정도가 P사의 프로그램을 사용했다. ‘국내 최대 규모의 악성코드 유포’가 가능했던 배경이다.

이후 ‘사업’은 순탄하게 흘러 갔다. 어떤 PC방 주인도 관리 업체가 악성코드를 유포할 거라고 의심하지 못했다. 양씨와 이씨는 악성코드를 바탕으로 ‘패보기 도박장’을 여러 곳 만들었다. 100㎡(약 30평) 남짓한 공간에 컴퓨터 수십 대를 들여놓고 30, 40대 남성으로 이뤄진 ‘선수’를 고용했다. 선수들이 벌어들인 게임머니는 ‘암환전’을 통해 현금화했다. 짜고 치는 다른 게이머에게 일부러 져서 대량으로 게임머니를 넘긴 뒤 대포통장을 통해 현금으로 바꾸는 수법이었다.

경찰청 사이버테러수사팀이 이씨 일당으로부터 압수한 하드디스크와 대포통장을 공개하고 있다. 연합뉴스TV 제공
◇개발자에서 범죄 총책으로

이씨와 양씨에게 처음 위기가 찾아온 건 2014년 7월쯤이다. 서울 서대문경찰서 수사팀이 패보기 도박장 중 한 곳을 덮친 것이다. 도박장 운영자와 선수 등이 체포됐지만 이때까지만 해도 사건의 전체 윤곽이 드러나지 않았다. 수사는 도박장 한 곳을 진압한 데서 멈췄다. 이후 양씨는 손을 털었다. 오랜 기간 사업을 해 온 감각으로 ‘빠져야 할 때’를 눈치챘다. 반면 이씨는 욕심이 생겼다.

조금만 더 벌면 게임 회사를 다시 세울 수 있을 것이라고, 무엇보다 수법 자체가 교묘해 걸릴 가능성이 없다고 생각했을 수 있다. 결과적으로 이씨는 약 1억원에 양씨로부터 P사를 넘겨 받았다. 이씨는 범죄의 총책으로 변신했다.

이씨는 직접 함께 할 선수들을 찾아 나섰다. 프로그램 시연까지 해가며 사업 안정성을 설득했다. 악성코드를 영구 저장되는 하드디스크가 아닌 휘발성메모리(램)에서 실행시켜 아예 기록조차 남기지 않는 방식으로 개량했다. 유포 경로도 확장했다. 그렇게 도박장 2곳을 운영하며 2년간 약 6억원을 벌어들였다.

꼬리가 길면 밟힌다는 옛말을 틀리지 않았다. 2015년 10월 경찰청 사이버테러수사팀에 제보가 들어왔다. “컴퓨터를 전공한 대학생인데 충북의 한 PC방 컴퓨터가 이상하다”는 내용이었다. 김진환 수사팀장은 팀원 1명과 해당 PC방으로 내려갔다. 겉보기엔 이상할 것 없는 컴퓨터였지만 분석 툴을 쓰자 특정 데이터를 해외에 보내는 게 포착됐다. 3년간 숨어있던 해킹 프로그램이 드러나는 순간이었다.

◇악성코드의 위험성 보여준 사건

해킹을 확인한 경찰도 이씨의 치밀한 범행 탓에 전모를 파헤치기는 쉽지 않았다. 데이터 전송 서버가 해외에 있는 것이 가장 큰 난관이었다. PC방 컴퓨터로부터 도박 게임 화면 사진을 전송 받은 서버가 그 데이터를 다시 어디로 보내는지 파악하는 게 문제였다. 경찰이 서버가 있는 국가에 공조수사를 요청했지만 이렇다 할 답변이 오지 않았다. 악성코드와 유포자를 잇는 다리가 끊긴 셈이었다.

경찰은 PC방 컴퓨터 내부에서 거꾸로 추적해 올라가는 수사로 선회했다. 특히 주목한 건 백신 프로그램이었다. 백신업체엔 앞선 3년간 악성코드를 찾아내고, 삭제하고, 악성코드가 재설치된 기록이 어딘가에 남아 있을 것으로 생각했다. PC방 컴퓨터들에 악성코드를 설치한 프로그램이 무엇인지 확인만 하면 유포자를 추정할 수 있다는 판단이었다.

경찰이 다수의 백신업체에 협조를 요청하자 관련 기록이 모였다. PC방 컴퓨터 46만여 대에 셀 수 없이 많이 설치된 악성코드들이 가리키는 건 단 하나, P사의 관리 프로그램이었다. 경찰은 P사가 악성코드 유포의 주범이라는 것을 확신했다.

2016년 1월 5일 김 팀장과 수사관 20명은 서울과 인천 등의 패보기 도박장과 양씨, 이씨의 자택 등에 대한 대대적인 압수수색에 나섰다. 경찰이 들이닥쳤을 때까지도 이씨 일당은 사기 도박에 열중하고 있었다.

그해 8월 서울중앙지법은 정보통신망법 위반 등 혐의로 양씨에게 징역 2년 6월을 선고했다. 이듬해 항소심에서는 징역 2년으로 형량이 줄었다. 도주했던 양씨가 검거된 이후 양씨가 주범이었던 시기만을 다룬 재판에서 이씨의 형량은 6월이 추가됐다. 양씨에게는 지난해 1월 1심에서 징역 3년이 선고됐지만 “형이 너무 무겁다”고 항소했다. 항소심에서는 징역 1년 6월로 감형됐다.

이 사건은 외형상 패보기 사기 도박이지만 핵심은 대규모 악성코드 유포다. 게다가 평범한 개발자가 너무나 손쉽게 7,000곳이 넘는 PC방의 컴퓨터 46만대에 악성코드를 깔았다. 만일 양씨와 이씨가 보고 싶었던 게 상대의 패가 아닌 PC방 이용자의 개인정보였다면 어땠을까.

2016년 1월 검거된 이모(40)씨 일당이 '패보기 도박장'으로 사용하던 사무실 전경. 컴퓨터 수십대가 일렬로 배치돼있다. 연합뉴스TV 제공

김현종 기자 bell@hankookilbo.com

공감은 비로그인 상태에서도 가능합니다

web_cdn 저작권자 © 한국일보 무단전재 및 재배포 금지

사회 최신기사