서울 서초동 대검찰청 앞 검찰 깃발. 사진=한겨레 자료 사진

법 체계가 암호화폐의 정의를 명확히 내리지 않는 상황에서 우리나라 검찰은 관련 사건을 어떻게 수사할까?

최훈제 대검찰청 과학수사부 사이버수사과 수사관은 지난 19일 고려대학교에서 톰슨 로이터와 고려대학교 법학전문대학원 블록체인 연구소가 공동 주최한 ‘블록체인의 시대, 우리는 무엇을 준비해야 하는가’ 세미나에서 검찰의 암호화폐 수사 기법을 소개했다. 최 수사관은 이날 지역 검찰이 수사 과정에서 대검 사이버수사과에 지원 요청을 해 온 사건을 모아 소개했다.

미션1: 신종 암호화폐의 사기성을 식별하라


피의자 A씨는 원금 보장 및 수익 보장을 약속하고 ㄱ코인을 판매해 투자자들로부터 13억 원 상당을 받았다. 전주지검 군산지청은 A씨가 벌인 일이 유사수신행위임은 입증했으나, ㄱ코인의 사기성 입증에는 어려움을 겪었다.

전주지검의 지원 요청을 받은 대검 사이버수사과는 우선 ㄱ코인이 정상적으로 유통 중인 코인인지 확인에 나섰다. 암호화폐 거래 데이터 업체 코인마켓캡(Coin Market Cap)과 거래소 C-Cex에서 해당 코인의 거래 기록을 살펴 실제 유통 여부를 판단했다. 백서와 투자 정보도 살폈다.

이어 사이버수사과는 누구나 블록체인의 소스코드를 열어볼 수 있다는 점을 활용해, ㄱ코인 소스코드에 기록된 DNS Seed 정보를 조회했다.

최 수사관의 설명에 따르면 DNS Seed 정보는 블록체인에 처음 접속할 때 자동 활성화 된 노드 IP 주소를 찾기 위해 소스코드 내에 기재된 서버 IP 주소를 뜻한다. DNS Seed를 조회하면 인접 서버 IP에 연결돼 블록체인 정보를 전달받을 수 있다. 따라서 1개 이상의 유효한 서버가 필요하다.

ㄱ코인 DNS Seed 조회 결과 도메인과 IP 주소는 존재하지만 서버에 접속할 수 없었다. 유효한 서버가 아니었던 것이다. 사이버수사과는 이를 근거로 해당 코인에 사기성이 있다고 판단했다.

미션2: 해외 송금된 암호화폐를 추적하라


두 번째 사례는 피의자 B씨가 해외에 있는 지인을 통해 대마를 구입하고 비트코인으로 대금을 지급한 사건이다. 압수수색을 통해 거래소로부터 B씨의 암호화폐 거래내역을 제공받은 서울서부지검은 B씨가 특정 주소로 세 차례에 걸쳐 비트코인을 송금한 내역을 확인했다. B씨는 이를 해외에 거주하는 남자친구에게 송금한 것이라고 주장했다.

사이버수사과는 비트코인 추적 도구 ‘체이널리시스’를 통해, B씨의 비트코인을 받은 해외 계좌가 개인이 아닌 거래소 소유 계좌임을 확인했다. 거짓말이 들통난 피의자 B씨는 결국 대마 구매 용도로 비트코인을 해외 송금했음을 시인했다.

미션3: 포르노사이트 운영자의 비트코인을 몰수하라


범죄 행위로 취득한 재산을 국가가 몰수하는 것처럼, 부당하게 얻은 암호화폐도 몰수할 수 있을까? 최 수사관은 “지난 5월 대법원 판결을 통해 우리나라 최초 비트코인 몰수 사례가 일어났다”고 소개했다.

지난해 4월 경찰은 아동・청소년 음란물을 제작・유통하는 포르노 사이트 운영자 C씨를 위장 수사하는 과정에서 C씨의 비트코인 지갑을 확인했다. C씨가 비트코인을 받고 음란물을 거래한 정황을 포착한 경찰은 C씨의 거주지를 압수수색해 C씨 계좌의 비트코인을 압수했다.

최 수사관은 “(암호화폐 압수수색이란) 현장에서 암호화폐 지갑 또는 개인 키를 압수하는 게 아니다. 수사기관이 직접 암호화폐 지갑과 계좌를 만들어 그 주소로 (피의자 소유) 암호화폐를 이체하는 게 압수다. 국내 수사기관뿐 아니라 유로폴과 FBI 등에서도 같은 방식으로 암호화폐를 압수한다”고 설명했다.

경찰은 국내 거래소 빗썸에 경찰 명의 계정을 만든 뒤, C씨가 음란물 거래로 벌어들인 비트코인을 두 차례에 걸쳐 송금했다. 사건에 대한 공판이 끝나는 시점까지 경찰 명의 계정에 비트코인을 보관할 계획이었다. 그런데 지난해 7월 빗썸 해킹 사건이 발생해, 앞서 몰수한 비트코인을 하드웨어 지갑 Trezor으로 다시 송금했다.

이후 1심 재판 과정에서 몰수가 기각됐다. 재판부는 “해당 지갑의 비트코인 중 범죄 수익을 특정하기 어렵다”, “(비트코인이) 전자화된 파일 형태여서 몰수하는 것이 적절하지 않다”는 이유였다. 이후 검찰은 해외의 암호화폐 몰수 판례 등 추가 증거를 제출해 항소했고, 올해 1월과 5월 열린 2심 판결과 대법원 판결에서 몰수가 최종 확정됐다.

최훈제 대검찰청 사이버수사과 수사관이 19일 오후 서울 고려대학교에서 가상화폐 수사기법을 주제로 발표하고 있다. 사진=로앤비 교육센터 제공


효과적인 수사를 위한 기술과 협력


최 수사관은 암호화폐 거래 계정 소유자를 특정하기 위한 클러스터링 기법도 소개했다. 연관성 있는 데이터를 그룹별로 묶어 거래자 추적과 신분확인을 보다 용이하게 하는 기법이다. 예를 들어 마약 거래나 도박 등 특정 범죄에 사용된 주소를 따로 묶거나, 국내외 특정 거래소에서 이용되는 주소를 따로 묶는 식이다.

클러스터링 작업 후에는 암호화폐 시세, 계정별 태그정보 등 공개된 부가정보를 활용해 계정 소유자를 특정한다. 최 수사관은 “공개 정보를 전부 신뢰할 수는 없지만 수사에 도움이 된다”고 설명했다.

개인간 거래의 특성상 암호화폐 거래는 추적이 어렵다. 암호화폐를 다른 화폐로 환전하는 경우에도 추적이 어렵다.

‘비트코인 블렌더’ 등 믹싱 서비스를 이용해 자금을 세탁하는 경우도 있다. 최 수사관은 “유로폴의 경우 믹싱 서비스를 이용하기 이전의 ‘클린 주소’를 찾아내는 도구를 자체 개발했다. 거래 트랜젝션을 모두 조사해 클린 주소 후보군을 추린 뒤 거래소에 공문이나 영장을 발부해 사용자를 특정하는 방법이다”라고 소개했다.

최 수사관은 “지난해 검찰에서 '범죄 이용 비트코인 거래추적을 위한 기반연구'를 진행했다. 별도의 분석 시스템을 마련해야 한다고 결론 내렸다. 단순히 블록 몇 개를 조회하는 데에 머물지 않을 수 있도록, 블록 DB(데이터베이스)화가 필요하다. 원형 DB, 그래프 DB, 검색 DB 등 다양한 형태의 DB화가 필요하다”고 주장했다. 범죄정보와 부가정보 등 별도 DB간의 연결도 필요하다는 게 최 수사관의 설명이다.

최 수사관은 관련 기관 간 협력 체계의 필요성도 역설했다. 거래소는 해킹을 당해 고객들이 거래 정지 요청을 해 온 주소나, 고객들로부터 여러 차례 신고가 들어온 주소 등을 데이터베이스화 해 수사기관에 공유하고, 수사기관도 실제 범죄에 연관된 주소 리스트를 거래소에 공유해야 한다는 것이다.

정인선 한겨레신문 정인선 기자입니다. 2018년부터 2022년까지 3년여간 코인데스크 코리아에서 블록체인, 가상자산, NFT를 취재했습니다. 일하지 않는 날엔 달리기와 요가를 합니다. 소량의 비트코인(BTC)과 이더리움(ETH), 클레이(KLAY), 솔라나(SOL), 샌드(SAND), 페이코인(PCI)을 보유하고 있습니다.
제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지