[디지털데일리 김보민기자] 불법 도박 사이트를 제작해 국내 사이버 범죄 조직에게 판매한 북한 조직이 국가정보원(이하 국정원)에 덜미가 잡혔다.

국정원은 중국 단둥에서 활동 중인 '경흥정보기술교류사'(이하 경흥) 조직원의 신원과 개발한 사이트 및 판매·운영 실태를 파악했다고 14일 밝혔다. 조직원 얼굴과 신상 정보, 범죄 방식 등이 담긴 사진과 동영상도 입수했다. 수조원대 수익을 올린 국내 사이버범죄 조직에 대해서도 실체를 규명 중이다.

국정원에 따르면 경흥은 김정은 북한 국무위원장의 개인 비자금을 조달 및 관리하는 노동당 39호실 산하 조직이다. 경흥 단장은 대남공작을 담당하는 정찰총국 소속으로 39호실에 파견된 김광명이다. 김광명 단장 아래 정류성, 전권욱 등 15명의 조직원이 분업 시스템을 갖춰 성인 및 청소년 대상 도박사이트 등 각종 소프트웨어를 제작 판매해온 것으로 파악됐다. 매달 1인당 500달러씩 평양에 상납한 정황도 확인됐다.

경흥 체류지는 조선족 대북 사업가가 소유한 단둥시 평청 소재 '금봉황 복식유한공사'라는 의류 공장 기숙사로 나타났다. 단둥은 북한 노동력을 바탕으로 중국 의료 생산기지로 부상한 대표적인 지역이다.

경흥 조직원은 중국인 브로커를 통하거나 구글·링크드인 등 포털 사이트에 노출돼 있는 중국인 신분증에 본인 사진을 합성하는 방식으로 신분을 위장했다. 이후 텔레그램, 위책, QQ 등 소셜미디어(SNS)나 프리랜서, 업워크 등 구인·구직 사이트에서 일감을 물색했다.

특히 정보기술(IT) 업계 종사자 경력증명서를 도용해 전문 분야에서 활약하고 있는 외국인으로 위장해 활동하기도 했다. 이 과정에서 고수익을 보장하며 불법 도박사이트 제작 수주에 나선 것으로 보인다. 지난 2017년 유엔(UN) 안보리가 북한 핵·미사일 개발용 외화벌이를 막기 위해 대북제재 결의를 채택하면서, 북한 신분으로 중국에서 일감을 수주하기 어려웠던 탓이다.

국정원에 따르면 경흥 조직원은 불법 도박사이트 제작에 건당 5000달러, 유지·보수 명목으로 월 3000달러를 받았다. 이용자가 늘어나면 월 2000~5000달러를 추가로 수수하는 정황도 포착됐다. 사이버범죄 조직들에게 도박 사이트 관리자 권한을 판매하고, 사이트 성능 개선 및 서버 오류 수정 등 요청이 있을 때마다 자신들이 직접 접속해 유지·보수 작업을 하며 수익을 올린 셈이다.

경흥은 도박 사이트를 제작한 뒤 유지·보수를 하는 과정에서 관리자 권한으로 회원들의 개인정보를 수집한 것으로 파악됐다. 또한 자동으로 돈을 걸어주는 '오토 프로그램'에 악성코드를 심어 회원정보를 추가로 탈취한 정황도 나왔다.

이들은 이러한 방법으로 성명, 연력처, 계좌번호 등 한국인 개인 정보 약 1100건을 데이터베이스(DB)화해 판매를 시도하기도 했다. 정보·수사당국은 이번에 적발된 국내 범죄조직이 도박 사이트용 서버를 구매해 북한 조직에 제공했고, 이들이 해당 서버를 우리 기업 기밀을 해킹하는 데 이용한 사실도 확인했다.

대북 경제 제재망을 피해 판매 대금을 전달받는 생태계도 구축한 것으로 나타났다. 북한 조직은 중국인 명의 은행 계좌, 한국인 사이버 도박조직 차명계좌, 결제 서비스 페이팔 등을 활용했다. 개발 대금을 수수하고 중국 은행에서 현금화한 뒤 북한으로 반입하는 방식이다.

한편 국정원은 경흥과 같이 해외에서 사이버 도박 프로그램 등을 판매해 외화벌이에 뛰어든 조직원이 수천명에 달한다고 보고 있다. 대부분 중국에서 활동 중이다.