조주빈·갓갓은 어떻게 잡혔나 — OPSEC 실패 사례 분석

“텔레그램이면 안 잡힌다.” “모네로 쓰면 추적 불가다.”

n번방 사건 관련자들 대부분이 이렇게 믿었다. 조주빈은 체포 2주 전까지 직접 그렇게 말했고, 엘은 공범에게 “나는 절대 잡힐 수가 없다”고 썼다.

전부 잡혔다. 조주빈 징역 42년(이후 추가 기소로 총 47년 4개월 확정), 문형욱(갓갓) 징역 34년, 이성일(엘) 호주 현지 검거.

이 글은 이 세 사건의 검거 과정을 OPSEC(Operations Security — 자신의 활동 흔적을 외부에 노출하지 않도록 관리하는 보안 원칙) 관점에서 분석한다. 어디서 실수가 발생했고, 왜 그게 치명적이었는지.

OPSEC 실패는 한 가지 유형이 아니다

먼저 구조를 잡겠다. 세 사건에서 나타난 OPSEC 실패를 유형별로 분류하면 이렇다.

1. 현금화 경로 노출 — 디지털 자산이 현실 경제와 만나는 접점
2. 신원 분리 실패 — 범죄 활동과 실제 신원이 연결되는 지점
3. 과시 행위 — 보안 수칙과 정반대되는 자기 노출

하나의 도구가 뚫린 게 아니다. 여러 층위에서 동시에 구멍이 났다.

조주빈 — 돈이 현실로 나오는 순간

조주빈의 OPSEC 전략은 명확했다. 텔레그램으로 소통하고, 암호화폐로 입장료를 받는다. 메신저도 안 도와주고, 코인도 익명이니 추적 불가 — 라는 계산이었다.

실제로 텔레그램은 경찰의 수사 협조 요청 7회를 전부 무시했다. 메신저 쪽은 완벽하게 막혀 있었다.

문제는 돈이었다.

비트코인과 이더리움은 모든 거래 내역이 블록체인(공개 장부)에 기록된다. 지갑 주소만으로는 누구 건지 모르지만, 그 코인을 원화로 바꾸는 순간 거래소의 KYC(Know Your Customer, 실명확인 절차)에 걸린다. 이름, 주민번호, 연락처가 묶인다.

조주빈은 모네로도 사용했다. 모네로는 거래 내역 자체가 암호화되는 프라이버시 코인이라 블록체인 분석이 극히 어렵다. 하지만 모네로든 비트코인이든, 현금으로 바꾸려면 결국 거래소를 거쳐야 한다. 그 접점에서 익명성이 깨진다.

가상화폐 데이터 분석업체 크립토퀀트가 조주빈의 이더리움 지갑을 분석해 32억 원 규모의 자금 흐름을 포착했고, 경찰은 빗썸·업비트·코인원 등 거래소와 구매대행업체를 포함해 20곳을 압수수색했다.

공범 강훈(부따)은 암호화폐를 현금으로 바꿔 조주빈에게 전달하는 역할이었다. 경찰은 현금화 경로를 따라 강훈을 먼저 잡았고, 강훈은 현금을 수원의 한 아파트 소화전에 넣어뒀다고 진술했다. 경찰은 해당 아파트 엘리베이터 CCTV를 확인해 현금을 회수하는 인물을 포착했다.

OPSEC 관점에서 정리하면 이렇다. 디지털 세계에서 아무리 암호화를 걸어도, 현실 경제와 만나는 접점에서 익명성이 무너진다. 거래소 KYC, 은행 계좌, ATM CCTV — 현금화 체인의 어느 한 지점만 뚫려도 끝이다.

조주빈 — 현실에서 남긴 실명

돈 추적 외에, 조주빈의 신원을 특정한 결정적 단서는 의외의 곳에서 나왔다.

조주빈은 길거리 서명운동에 참여하면서 본명과 생년월일을 자필로 남겼다. SBS 취재파일에 따르면, 경찰은 이 명단에서 “조주빈 / 95년.XX월.XX일”이라는 기록을 확인하고 신원 특정의 실마리를 잡았다.

텔레그램에서는 철저하게 익명을 유지했다. 하지만 현실 세계에서 본인 이름을 남겨버린 거다.

이게 OPSEC에서 말하는 신원 분리 실패다. 범죄 활동의 익명 신원과 현실의 법적 신원 사이에 단 하나의 연결고리만 생겨도, 그 연결고리를 타고 전체가 무너진다. 조주빈의 경우 그 연결고리가 서명운동 명단이었다.

2020년 3월 16일, 조주빈은 인천 미추홀구 자신의 집에서 체포됐다.

문형욱(갓갓) — 1~2초의 자기 과시

문형욱의 OPSEC 실패는 조주빈과 유형이 다르다.

문형욱은 자신의 범죄 수법을 과시하기 위해 피해자 계정을 해킹하는 과정을 스마트폰으로 실시간 방송했다. 자기가 얼마나 대단한지 보여주고 싶었던 거다.

이 방송 중에 스마트폰 바탕화면이 1~2초 동안 노출됐다. 화면에 깔려 있던 앱 목록이 찍힌 거다.

경찰은 이 앱 목록을 기반으로 각 앱의 회원 정보를 비교 대조했다. 특정 앱 조합을 동시에 사용하는 사람은 많지 않다. 여러 앱의 회원 목록을 교차하면 후보가 급격히 좁혀진다. 경찰은 이 방식으로 문형욱의 신원을 특정했다.

2020년 5월 9일 소환조사에서 문형욱은 처음에 부인했지만, 압수한 증거 앞에서 결국 자백했다.

OPSEC 관점에서 이건 가장 기본적인 실패다. 작전 중 자신의 환경을 노출하는 행위. 군사 OPSEC에서는 이걸 ‘시그니처 관리 실패’라고 부른다. 내 장비, 내 환경, 내 패턴이 노출되면 — 그게 아무리 짧은 시간이라도 — 적에게 퍼즐 조각을 건네주는 거다.

문형욱이 방송만 안 했으면 훨씬 오래 걸렸을 거다. 과시 욕구가 보안을 이겼다.

이성일(엘) — 140번의 압수수색과 IP

이성일은 앞의 두 사건보다 OPSEC을 더 의식한 흔적이 있다.

금전 수수를 아예 안 했다. 입장료도, 유료 결제도 없었다. 조주빈처럼 현금화 경로가 생길 일 자체를 차단한 거다. 텔레그램 대화명을 수시로 바꾸고, 방도 30여 곳을 옮겨 다니면서 경찰의 패턴 분석을 어렵게 만들었다.

그래서 수사가 오래 걸렸다. 경찰은 140여 차례 압수수색 영장을 집행하고, IP 주소를 분석해 나갔다. 텔레그램 대화 내용을 분석하고, 공범 15명을 먼저 검거하면서 이성일의 신원에 접근했다.

이성일은 피해자에게 접근할 때 ‘추적단불꽃’(n번방 사건을 최초로 공론화한 탐사보도 팀)을 사칭했다. 텔레그램 외에 다른 SNS도 사용해 피해자를 유인했는데, 이 과정에서 남긴 흔적들이 결국 IP 특정으로 이어졌다.

2022년 11월 23일, 서울경찰청 사이버범죄수사대와 호주 경찰 아동보호팀(AFP)이 합동한 ‘인버록(Inverloch)’ 작전으로 시드니 교외에서 검거됐다. 압수한 휴대전화 2대 중 1대는 초기화되어 있었지만, 나머지 1대에서 영상 증거와 텔레그램 계정이 확인됐다.

OPSEC 관점에서 이성일의 실패 지점은 플랫폼 간 활동 연결이다. 텔레그램에서는 대화명을 바꿔가며 흔적을 지웠지만, 다른 SNS에서 피해자를 유인하는 과정에서 IP와 행동 패턴이 남았다. 하나의 플랫폼에서 아무리 조심해도, 다른 플랫폼에서 같은 목적의 활동을 하면 교차점이 생긴다.

세 가지 실패가 말해주는 것

세 사건을 OPSEC 실패 유형별로 정리하면 이렇다.

유형	조주빈	문형욱	이성일
현금화 경로	거래소 KYC → 계좌 추적	해당 없음	금전 수수 안 함
신원 분리	서명운동 실명	앱 목록 교차 대조	다른 SNS에서 IP 노출
과시/노출	—	해킹 과정 실시간 방송	—
물리적 접점	공범 현금 전달 → CCTV	—	휴대전화 미초기화 1대

하나의 도구가 뚫린 게 아니라, 여러 층위에서 동시에 구멍이 났다.

핵심은 이거다. OPSEC은 체인이다. 가장 약한 고리 하나만 뚫리면 전체가 무너진다. 텔레그램이 완벽하게 비협조해도, 모네로가 추적 불가여도, VPN을 쓰고 있어도 — 서명운동 명단에 이름을 남기거나, 스마트폰 화면을 1초 보여주거나, 다른 SNS에서 같은 활동을 하는 순간 끝난다.

암호화 도구는 메시지를 보호할 뿐이다. 범죄의 전 과정 — 돈의 흐름, 사람의 움직임, 플랫폼 간 행동 — 이 전부 메신저 안에서만 일어나지 않는다. 현실과 접촉하는 모든 지점이 잠재적 추적 경로다.

다만, 선은 분명히 있다

이 글은 검거 과정의 기술적 분석이다. 범죄 회피 매뉴얼이 아니다.

n번방 사건은 미성년자를 포함한 수십 명의 피해자가 존재하는 성착취 범죄다. 조주빈의 박사방에는 유료 회원이 수천 명이었고, 문형욱은 275차례에 걸쳐 아동·청소년에게 성착취 영상 촬영을 강요했다. 이성일은 추적단불꽃을 사칭해 이미 피해를 입은 사람에게 다시 접근했다.

OPSEC 분석 글을 쓰는 이유는 하나다. “암호화 도구를 쓰면 안 잡힌다”는 착각이 왜 틀렸는지 보여주기 위해서다. 기술적 사실을 숨기면 잘못된 공포나 잘못된 안심만 남는다.

성착취물을 제작하고 유통하는 행위는 피해자의 삶을 파괴하는 범죄다. 여기에 돈이 붙으면 피해자의 고통이 상품이 된다. 한번 넘은 선은 돌아오지 않고, 디지털 흔적은 언제든 되살아난다.

이 세 사건이 증명하는 건 그 반대 명제다. 아무리 정교한 도구를 써도, OPSEC의 구멍은 기술이 아니라 사람에게서 생긴다. 그리고 수사기관은 그 구멍을 찾는다.