서울지방경찰청 국제범죄수사대(산업기술유출수사팀)는, 지난 4개월에 걸쳐 국가정보원의 정보지원과 긴밀한 협조하에 수사를 전개하여, 북한의 컴퓨터전문가들이 해킹하여 빼낸 국내 유명 게임사의 게임프로그램의 패킷정보를 이용, 북한개발팀과 공모하여 오토프로그램(게임자동사냥프로그램)을 불법제작한 뒤, 이를 중국과 국내의 온라인 게임 작업장에 무차별적으로 공급하고, 프로그램 판매수익을 북한개발자들과 나누어 가진 핵심 피의자 정OO 등 6명을 구속(영장신청 예정자 1명 포함)하고, 이들로부터 공급받은 오토프로그램을 사용하여 온라인 게임 작업장을 직접 운영한 피의자 강OO 등 9명은 불구속 입건하였으며, 현재 중국에 체류중인 피의자 김OO 등 2명에 대해서는 체포영장을 발부받아 지명수배 조치함은 물론 신병 확보를 위해 인터폴 공조수사를 진행하고 있다.

피의자들은 주로 중국의 흑룡강성 목단강 지역과 요녕성 단동지역에서 지난 2009년 6～7월경부터 본격적으로 북한 개발팀과 공모하여 오토프로그램을 제작하기 시작했으며, 피의자들은 북한의 컴퓨터 전문가들을 정상적인 사업의 파트너인양 초청형식으로 중국으로 데려온 뒤 숙소와 생활비를 지원하고 이들로 하여금 오토프로그램을 개발하도록 한 것으로 확인되었다.

이들 컴퓨터전문가들은 국내 유명 게임사의 핵심 영업비밀인 패킷정보를 이용, 오토프로그램을 제작하여 피의자들에 공급해주고 그 대가로 프로그램 1copy당 공급가의 1/2을 받아왔으며, 피의자들은 이렇게 제작한 오토프로그램을 1copy당 매월 사용료 명목으로 17,000～18,000원에 중국과 국내의 판매총책에게 공급하였고, 이를 공급받은 국내 판매총책은 다시 국내 딜러들에게 20,000～21,000원에 판매했으며, 딜러들은 다시 전국각지의 온라인 게임 작업장에 23,000～24,000원에 판매해 온 것으로 밝혀졌다.

오토프로그램을 공급받은 게임 작업장은 적게는 수십대에서 많게는 수백대에 이르는 컴퓨터를 설치한 후 오토프로그램을 실행시켜 게임에 접속, 무차별적으로 게임 아이템을 취득한 후, 그 취득한 아이템을 아이템 중개 사이트에 내다팔아 현금으로 교환하여 범죄수익을 거둬들였고, 이렇게 해서 피의자들이 벌어들인 수익은 1년 6개월만에 64억여원에 달한 것으로 밝혀졌다.

이번 사건에서 국내 게임사 해킹 및 오토프로그램 제작을 담당해온 것으로 밝혀진 북한의 컴퓨터전문가들은, 북한의 ‘조선릉라도무역총회사’ 산하 ‘릉라도정보쎈터’와, 북한의 내각 직속 산하기업인 ‘조선콤퓨터쎈터(KCC)’에 근무하는 자들로 확인되었고, 이 중 ‘조선릉라도무역총회사’는 표면상으로는 무역회사로 알려져 있으나 그 실체는 북한 김정일의 통치자금을 조성․공급해온 소위 39호실의 산하기관이며, ‘릉라도정보쎈터’는 바로 이 회사의 8번째 상사인 것으로 밝혀졌다.

특히, ‘조선릉라도무역총회사’의 사장인 박규홍은 실제 39호실 부부장, 평양시 부시장, 최고인민회의 대의원 등 직책을 겸직하고 있는 것으로 확인되었고, 또한 북한의 내각 직속 산하기업인 ‘조선콤퓨터쎈터(KCC)’는 1990년에 설립된 북한 최고의 IT연구개발 기관으로 8개의 연구개발센터와 11개의 지역정보센터로 이루어져 있으며 1,200여명의 전문가들이 소프트웨어와 하드웨어 제품을 개발하고 있는 곳으로 확인되었다.

구속 피의자들의 진술에 의하면, 자신들은 중국 현지의 '릉라도정보쎈터' 및 ‘조선콤퓨터쎈터(KCC)’와 사전 협의를 거쳐 중국으로 초청할 북한 내의 컴퓨터전문가들을 미리 선정해 놓은 뒤, 정상적인 협력사업을 가장한 ‘인력초청’형식의 의향서를 피의자 이OO이 운영하는 송림유한공사 명의로 작성하여 북한측에 이를 전달하고 다시 중국주재 북한영사관을 통한 최종 확인절차를 걸쳐 초청대상 전문가들을 중국으로 데려오는 수법을 사용했으며, 통상 전문가 4～5명씩 초청해온 것으로 밝혀졌다.

이들 컴퓨터전문가들이 일단 중국에 초청되면 통상 5개월가량 머물렀는데 그 기간동안 이들에게 숙박비와 생활비 지원은 물론 오토프로그램 개발에 상응한 보수를 피의자 이OO 등이 제공한 것으로 확인되었다.

또한 초청된 컴퓨터전문가들은 장소와 IP를 수시로 바꿔가며 오토프로그램 제작 업무를 담당해왔고, 특히 피의자들이 개발해 줄 것을 원하는 ‘게임’별로 개발팀을 구성하여 오토프로그램을 제작해 준 것으로 밝혀졌다(예컨대, ‘리니지팀’ ‘던파팀’ ‘메이플팀’ 등). 또 이들은 중국 현지 IP를 통해서는 국내 게임사 접속이 불가능하다는 점을 감안, 국내 VPN망(가상사설망)을 이용해 온 것으로 드러났다.

구속 피의자들의 진술에 의하면, 피의자들에 의해 중국으로 초청된 북한 컴퓨터전문가들 가운데 최고의 실력자(해킹 및 오토프로그램 제작)는 ‘김혁’ ‘정진명’ ‘박준민’ ‘김이철’ 등인데, 이 중에서도 가장 뛰어난 실력자는 나이 어린 ‘김이철’이며, 이들을 진두 지휘해온 인물은 릉라도정보쎈터의 김문철인 것으로 확인되었다.

이들은 모두 김일성종합대학과 김책공업대학 출신들로, 피의자들의 진술에 의하면, 북한에서는 중학교 때 영재들만 따로 뽑아 2년간 컴퓨터분야를 전문적으로 가르친 후, 바로 김일성종합대학이나 김책공대의 컴퓨터 관련 전공으로 나누어 보내고, 여기서 다시 특출나게 뛰어난 학생은 2년만에 졸업을 하고 나머지는 4년만에 졸업을 하게 되는데, 결국 우수 영재들은 4년만에 고등학교와 대학교까지의 과정을 모두 마치는 시스템을 갖추고 있다고 밝혀졌다.

피의자자들의 진술에 의하면, 오토프로그램의 경우 게임의 인기도, 판매장소(중국/국내) 그리고 유통방식(도매/딜러를 통한 소매)에 따라 그 판매가격이 다양한 것으로 밝혀져 수사를 통해 판매수익을 일률적으로 파악하기는 어려운 실정이다.

대표적인 오토프로그램인 ‘던전앤파이터’의 경우, 중국현지 딜러들에게 1copy당 매월 200위안(한화 35,000원)에, ‘리니지’ 오토프로그램은 국내 판매총책인 구속 피의자 박OO에게 1copy당 매월 17,000~18,000원에 공급하였고, 위 박OO은 다시 딜러들에게 1copy당 매월 20,000~24,000원에 판매한 것으로 드러났다.

이처럼 오토프로그램을 판매한 피의자들은 프로그램을 개발한 북한의 컴퓨터전문가들에게 숙박비, 생활비, 프로그램 개발비 등 다양한 명목으로 대가를 지불하였는데, 프로그램 개발비의 경우 한꺼번에 지불하거나 1copy당 매월 사용료의 55%를 개발비용으로 지불하였고, 이들 전문가들은 자신들이 벌어들인 수익 가운데 1인당 월 500달러씩 북한당국에 의무적으로 바쳐야 하는 것으로 확인되었다.

피의자들이 유포한 오토프로그램에 내재되어 있는 패킷정보를 추출하여 게임사에 확인시킨 결과 게임사의 패킷정보가 그대로 사용된 것으로 확인되었고(패킷정보의 동일성), 해킹툴로 보여지는 일부 소스가 확보되었으며(중국 현지 협조자가 경찰측에 USB로 건네줌), 함께 생활한 북한 개발자들과의 평소 대화 중에 자신들과 같은 전문가들이 국내 게임사를 해킹하여 오토프로그램을 제작해왔다는 말을 자주 들었다는 구속 피의자들의 진술 등을 종합해볼 때, 북한의 컴퓨터전문가들이 해킹의 방법으로 게임사의 영업비밀인 패킷정보를 빼낸 것으로 추단된다.

해킹의 구체적인 방법에 대해서는 현재 확보한 해킹툴의 일부분만으로는 단정적으로 판단할 수는 없으나, 구속 피의자들이 북한 전문가들과의 대화를 통해 들은 내용과 중요 참고인들의 진술에 의하면, 통상 게임이용자(유저)가 게임을 실행하면 게임사 서버의 포트와 사용자 컴퓨터의 포트가 열려 네트워크로 서로 연결되고 그 사이를 암호화된 패킷정보가 오고가는데, 북한의 컴퓨터전문가들은 이처럼 게임사 서버의 포트가 열릴 때 미리 만들어놓은 바이러스 프로그램(악성코드)을 해당 포트에 삽입함으로써, 패킷정보를 암호화하는 ‘모듈’을 무력화시켜 평문의 패킷정보를 빼내오는 수법을 사용한 것으로 파악되었는데, 이러한 진술과 일부 확보한 해킹툴에 대한 분석결과를 종합해볼 때, 이들의 해킹방식은 게임사 서버의 메모리 한계 취약점을 이용한 ‘버퍼오버플로우’방식을 사용한 것으로 추정된다.

그동안 게임사 해킹을 통한 오토프로그램 제작, 해킹을 통한 개인정보 유출(p2p사이트 정도는 가볍게 해킹), 도박사이트 운영, 악성코드(바이러스) 유포 등에 대한 무성한 소문만 있었을 뿐 그 실체가 명확하게 규명되지 않았으나, 이번 사건 피의자들의 진술을 통해 북한당국이 컴퓨터전문가들을 대거 동원하여 해킹 등 다양한 사이버 범죄에 깊이 관여하고 있다는 사실이 어느 정도 확인되었다.

검거된 피의자 정OO의 경우, 자신들이 북한 컴퓨터전문가들과 함께 운영하는 서버를 확인한 결과, zmb.exe라는 악성코드를 확보할 수 있었음. 이 악성파일을 분석한 결과 윈도우업데이트를 가장하여 일반인들의 컴퓨터에 침투할 수 있도록 설계되어 있었으며, 감염될 경우 원격 감시될 수 있는 것으로 확인되었다..

이번 사건에서 북한의 컴퓨터전문가들이 개발한 오토프로그램들을 분석한 결과, 오토프로그램을 실행시키면 사용자의 컴퓨터에 자동 업데이트용 포트가 개방이 되도록 해놓았는데, 만약 오토서버를 관리하는 관리자(북한 개발팀)가 업데이트를 가장한 디도스 등 악성코드용 파일을 삽입할 경우 同프로그램이 설치된(작업장 등 사용) 컴퓨터는 순식간에 좀비PC로 악용될 개연성이 높다고 판단된다.

이처럼, 오토프로그램이나 도박프로그램 등을 제작해 주면서 그 프로그램 안에 악성코드를 삽입할 수 있도록 해 둔 것은, 향후 이들 프로그램을 대남 사이버테러에 적극 활용하기 위한 것으로 판단되는바, 국내 컴퓨터 관련 불법 프로그램들에 대한 대대적인 단속이 요구된다.

이번 사건을 통해 북한은 수단과 방법을 가리지 않고 컴퓨터전문가들을 대거 동원하여 외화벌이를 시키는 것은 물론이고, 특히 그동안 소문으로만 무성하였던 북한 당국의 무역회사를 가장한 외화벌이 실상이 확인되었다고 볼 수 있다.

북한은 오토프로그램이 돈이 된다고 판단, 2006년부터 ‘외화벌이’수단의 일환으로 본격적으로 위 프로그램을 개발하기 시작하였는데, 오토프로그램 제작방식도 더욱 발전을 거듭하여 기존의 ‘그래픽’ 방식과 ‘메모리’ 방식보다 훨씬 강력한 ‘패킷분석’방식으로 오토프로그램을 제작하여 공급한 것으로 드러났는데 이러한 ‘패킷분석’은 고도의 컴퓨터실력이 있어야 하는 것으로, 피의자들의 진술을 통해 확인되었듯이, 북한은 정책적으로 컴퓨터 영재들을 양성하여 해킹 등 각종 사이버 범죄에 이들을 활용하고 있음을 알 수 있다.

이번에 검거된 피의자들이 사용한 대포통장 등 13개 계좌를 확보하여 거래내역을 분석한 결과, 약 1년 6개월 동안 피의자들이 오토프로그램 판매와 아이템 거래를 통해 벌어들인 수익이 64억여 원으로 확인되었다.

하지만 이번 사건 이외에도 이와 유사한 수많은 조직들이 중국과 국내에 널리 퍼져있다는 피의자들의 진술내용과 그 동안 언론을 통해 수차례 보도된 내용으로 짐작해볼 때 국내외 전체 오토프로그램을 통한 범죄수익 규모는 약 1조원에 이를 것으로 추산된다.

이번 수사를 통해, 지금까지 파악된 오토프로그램 판매수익 중 은닉재산 6억 1,500만원을 찾아냈고, 이들 범죄수익에 대해서는 모두 몰수보전 절차를 진행함으로써, 일부나마 범죄수익을 환수할 수 있게 되었다.

이번 사건을 통해 북한의 컴퓨터전문가들이 국내 게임사를 해킹하고 있다는 사실이 어느 정도 확인되었고, 국내 유명게임사의 경우 핵심 영업비밀이 어떠한 형태로든 유출되고 있음이 드러난 만큼, 게임사들은 자체 보안관리를 더욱 철저히 해야 할 것으로 판단된다.

최근 잇따라 발생한 해킹사건(현대캐피탈, 농협, 싸이월드 등)들을 통해 알 수 있듯이 우리 사회 전반에 걸쳐 사이버 보안이 취약한 실정인바, 이번 사건을 기관․기업․개인 모든 분야에서 사이버 보안체계를 강화하는 계기로 삼아야 할 것이다.

이번 사건을 비롯한 각종 해킹사건에 VPN(가상사설망) IP가 널리사용되고 있는 실정이다. 특히 이번 사건에서와 같이, VPN사업자들은 자신들이 공급하는 IP가 작업장 등에서 불법적인 목적으로 사용되고 있다는 사실을 잘 알면서도 계속 IP를 대여하는 등 VPN망이 범죄에 악용되고 있는 사례가 적지 않을 것으로 추정된다.

실제 일선 경찰서에 접수되는 수많은 해킹 및 아이템사기 사건의 IP를 확인해보면 대부분 VPN사업자가 중국에 판매한 IP로 파악되는데, 이러한 경우 중국에는 우리나라의 수사권이 미치지 못하여 사건 대부분이 내사중지 처리되는 경우가 허다하다.

중국에 있는 각종 작업장이나 도박사이트 운영자들의 경우, 자신들이 사용하던 특정 IP가 차단이 되면, VPN사업자들에게 새로운 IP를 구매하여 계속하여 범법행위를 하고 있어, VPN망 IP의 무분별한 공급에 대해 적절한 규제장치 마련이 시급하다.

첩보단계서부터 피의자들의 검거에 이르기까지 담당 수사팀과 긴밀하게 공조활동을 해온 국정원 관계자들의 역할이 이번 사건 수사에 큰 기여를 하였고, 남부지검 담당검사의 적극적인 수사지휘도 사건을 신속하게 진행하는데 큰 도움이 되었으며, 서울강서경찰서에서도 피의자들과 관련된 증거자료를 협조해주는 등 각 기관간 유기적인 공조가 이번 사건을 성공적으로 해결하는데 결정적인 역할을 하였다.

경찰관계자는 현재 중국 체류 중인 체포영장 발부 피의자 김OO 등 2명에 대해서는 인터폴 및 중국공안과 공조, 조속한 신병확보에 주력하는 한편, 전국 온라인 게임 작업장의 실태를 파악, 이들에 대한 집중 단속을 전개할 예정임을 밝혔다.