은행·정부 사칭 해킹 뒤에 있었다…캄보디아 ‘강제노동 사기 공장’
||2026.04.14
![정부·은행 사칭 악성코드 조직이 캄보디아 강제노동 사기 거점과 연결된 정황이 드러났다. [사진: 셔터스톡]](https://contents-cdn.viewus.co.kr/image/2026/04/CP-2023-0397/image-477fbfa3-242d-4cd5-91c1-1e3e2393c147.jpeg)
[디지털투데이 AI리포터] 정부기관과 은행 웹사이트를 사칭해 악성코드를 유포한 국제 범죄조직이 캄보디아 강제노동 사기 거점과 연결된 정황이 확인됐다.
13일(현지시간) 테크레이더(TechRadar)에 따르면 이 조직은 서비스형 악성코드 플랫폼을 운영하며 매달 약 35개의 신규 도메인을 등록했고, 최소 21개국에서 활동한 것으로 파악됐다.
이번 조사는 인포블록스 위협 인텔과 베트남 비영리단체 총 루아 다오(Chong Lua Dao)가 비정상적인 DNS 트래픽 증가를 포착하면서 시작됐다. 조사 과정에서 기존에 보고되지 않았던 서비스형 악성코드 플랫폼이 확인됐으며, 해당 인프라는 인도네시아, 태국, 스페인, 터키 등 여러 국가에서 운영된 것으로 나타났다. 이들은 정부기관과 금융기관을 사칭한 도메인을 지속적으로 생성해 악성코드를 유포했다.
공격 방식은 단순 피싱을 넘어섰다. 피해자가 위장된 소프트웨어를 내려받으면 KYC 절차를 요구받고, 이 과정에서 개인정보와 생체정보가 수집됐다. 이후 악성코드가 설치되면 공격자는 기기 통제권을 확보하고, 문자메시지로 전달되는 일회용 비밀번호(OTP)를 가로채 실제 은행 앱을 통해 자금을 이체한 것으로 조사됐다.
조사팀은 이 조직을 단발성 범죄가 아닌 '산업화된 사기 운영'으로 규정했다. 서비스형 악성코드 유통과 금융사기를 결합한 구조로, 일부 운영 인력은 인신매매를 통해 사기 거점으로 끌려가 강제로 범죄에 동원된 정황도 확인됐다.
수사 단서 중 하나는 캄보디아 시아누크빌의 'K99 트라이엄프 시티'(K99 Triumph City)였다. 이곳은 유엔이 대규모 사기와 강제노동 문제를 지적했던 시설로, 감금된 노동자들이 구조 요청을 보내면서 실체가 드러났다. 구조된 인원들은 폐쇄형 대화방 기록과 화면 캡처를 제공했고, 이를 통해 해당 시설이 악성코드 유포와 금융사기 운영의 거점으로 활용됐다는 점이 확인됐다. 또한 추적 대상 도메인 일부가 실제 범행에 사용된 사실도 드러났다.
조사 과정에서는 K99 시설 출입을 통제하는 정치권 연계 인물 집단도 확인됐다. 이들과 관련해 가장 비중 있게 언급된 인물은 코크 안(Kok An) 상원의원이다. 그는 시아누크빌 카지노와 부동산 업계에서 영향력을 가진 인물로, 지역 도박 산업과 조직범죄 기반시설이 정치권과 연결돼 있다는 기존 보고서에도 이름이 등장해 왔다.
