다크웹에 있던 아동성착취물 판매사이트 '웰컴투비디오(W2V)'에 가입하려면 아이디와 비밀번호만 입력하면 된다. 이름, 이메일 주소 등의 개인정보는 저장되지 않는다. 그런데 경찰은 어떻게 W2V 이용자들을 검거할 수 있었을까? 이들이 비트코인을 내고 영상을 구매했기 때문이다. 블록체인의 특성상 비트코인의 거래 내역은 추적이 가능하다.

출처=게티이미지뱅크

미국 법무부는 지난달 "세계 최대 아동성착취물 시장"인 W2V를 폐쇄하고 이용자들을 검거했다고 발표했다. 2017년 미국이 수사를 시작해 현재는 한국 등 38개국이 수사에 참여하고 있는 대규모 사건이다.

미국 기소장에 따르면, W2V에서 판매된 영상은 2~3살로 보이는 유아와 10살로 보이는 어린이 등을 성인이 성적으로 착취하는 내용이었다. 영어로 운영되는 W2V에는 "성인 포르노는 올리지 마시오(Do not upload adultporn)"라는 공지가 있고, 영상엔 '소아성애', '4살', '10대초반' 등 태그가 붙어 있었다.

한국 경찰청, 미국 국토안보수사국(HSI)·국세청(IRS)·연방검찰청, 영국 국가범죄청(NCA) 등은 W2V에 아동성착취물을 올리거나 내려받은 혐의로 전세계에서 349명(10월30일 기준)을 검거했다.

검거된 이들 가운데 한국인은 235명이었다. 각국 가운데 가장 많다. 한국 경찰은 "한국은 국가경찰 체계라 경찰청 지휘에 따라 각 경찰서가 일사불란하게 수사하지만 외국은 그렇지 않다. 지금 시점에서 한국이 특별히 많아 보이는 것"이라고 설명한다. 경찰에 따르면 대부분 20~30대 미혼 회사원으로 초범이다. 그러나 일부 아동청소년 성범죄 전력자도 있었다. 심각한 아동성착취물 중독 증세를 호소하며 정신과 치료를 요청한 전력이 드러난 경우도 있었다.

웰컴투비디오 웹사이트 게시판 일부. 출처=미 법무부

세계 최대 아동성착취물 사이트 W2V의 운영자는 한국인 손아무개씨(23)였다. 그는 2015년 7월부터 2년8개월 동안 사이트를 운영하면서 유료회원 4000여명으로부터 비트코인 415BTC(구매기준 4억여원)를 받고 아동성착취물을 판매했다. 2018년 검거된 손씨는 2심에서 징역 1년6개월형을 받고 현재 복역 중이다.

미국, 영국, 스페인의 수사당국은 검거 과정에서 W2V 이용자들에게 성착취를 당하던 23명의 아동을 각국에서 구조했다. W2V는 이용자가 새로운 영상을 올리면, 다른 영상을 내려받을 수 있는 포인트를 지급해 영상 업로드를 유도했다.

미 HSI(국토안보수사국)의 앨리사 에리히 디렉터는 "기술이 발전하면서 아동대상 범죄자들이 다크웹과 암호화폐 뒤에 숨고 있다. 하지만 이번 기소에서 보듯이, 아무리 수사가 복잡하고 어렵더라도 미국은 아동성착취를 절대 용인하지 않을 것이며 범죄자는 반드시 잡아내고 우리 아이들을 지켜낼 것"이라고 말했다.

한국 경찰청의 최종상 사이버수사과장은 지난달 30일 국회 토론회에서 "외국 수사당국과 국제공조를 통해 다크웹 사이트 운영자 등을 검거한 최초 사례"라며 "해외 기반 서버라도, VPN이나 다크웹 및 가상통화를 이용해도, 현금거래를 하더라도 다 국내에 흔적이 남기 때문에 수사를 할 수 있다"고 말했다.

2018년 5월 월켐투비디오 운영자 손씨 검거 당시 경찰이 공개한 사건 개요도. 출처=경찰청 사이버안전국 제공

 

경찰은 다크웹 이용자를 어떻게 추적했나


손씨가 W2V에서 비트코인을 받은 이유는 블록체인의 익명성을 활용하기 위해서다. 암호화폐를 이용하면 신용카드 등 제도권 금융을 거치지 않으면서, 전세계 누구와도 국경을 넘어 거래할 수 있다. 하지만 수사당국 또한 블록체인의 또 다른 특성인 투명성 덕분에 추적하기가 더 쉬웠다.

미 수사당국은 유료회원인 척 위장하고 W2V의 지갑으로 비트코인을 전송해 흐름을 추적했다. 두 번의 전송 만에 미 수사당국은 이 비트코인이 한 암호화폐 거래소의 지갑으로 들어가는 것을 확인했다. 그리고 거래소에 요청해 손씨의 전화번호와 이메일 주소를 확보했다. 이 거래소에 손씨의 은행계좌가 연동된 것을 보면 한국 거래소인 것으로 보인다.

또한 미 수사당국은 W2V의 소스코드를 살펴보다 손씨가 IP주소를 제대로 숨기지 않은 것을 발견했다. 한국 경찰은 통신수사를 통해 손씨의 이름과 주거지를 확보했다. 경찰은 2018년 5월 손씨를 체포하고 충남 당진에 위치한 손씨의 집에 있던 W2V 서버를 압수했다. 서버에는 약 8테라바이트에 달하는 2만여개의 영상이 저장돼 있었다.

한·미 수사당국은 디지털 포렌식을 통해 서버의 모든 정보를 분석했다. 이를 통해 비트코인을 내고 영상을 구매한 이들의 비트코인 지갑주소를 확인했다. W2V는 가입자 모두에게 비트코인 지갑주소를 지급해 총 130만개 이상의 BTC 주소를 생성했다. 이중 비트코인을 내고 영상을 다운로드한 유료회원은 약 4000명이다.

미 수사당국은 비트코인 지갑주소를 하나씩 추적하기 시작했다. 특히 블록체인 전송내역 모니터링 서비스 중 하나인 체이널리시스를 활용해, 해당 비트코인이 어느 암호화폐 거래소에서 나왔는지를 파악했다. 전세계 상당수 거래소는 가입 단계에서 고객신원확인(KYC)을 해 회원의 이름과 전화번호 등을 저장하고 있다. 각국의 수사당국은 해당 국가에 속한 거래소의 협조를 구했다.

각국의 암호화폐 거래소에서 웰컴투비디오 지갑으로 전송된 비트코인을 보여주는 그래프. 출처=체이널리시스 블로그 캡처

이후 미 수사당국은 거래소 3곳에서 W2V 이용자들의 비트코인 주소 24개를 압수했다. 수사 결과 이들은 W2V 뿐만 아니라 마약과 훔친 정보 등을 판매하는 아고라, 알파베이, 에볼루션, 실크로드 등 다크넷 시장에서도 비트코인을 사용한 것으로 드러났다. 또한 W2V에 사용된 비트코인 중 상당수는 추적을 막기 위한 믹싱 서비스로 흘러 들어가기도 했다.

2년 이상 걸린 수사 결과가 발표됐지만, 앞으로도 이용자 검거는 계속 늘어날 전망이다. WTV 유료회원 4000여명 중 검거율은 아직 9%이기 때문이다. 경찰 관계자는 "아직도 수사할 사람이 굉장히 많다. 한국도 아직 수사를 진행 중이다"라고 말했다. 그는 "한국의 가상화폐 수사력은 매우 높은 수준이며, 이번 수사를 통해 가상화폐 추적의 노하우가 많이 쌓였다"고 덧붙였다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지