비트코인 지갑 하나당 4명만 알려주고, 이틀 안에 쪼개고 섞어 자금세탁
박사방 암호화폐 추적①
조주빈 공지 등 비트코인 6개 주소 쫓아보니
소액방 입장료 추정 여러 계좌 운영 흔적
이틀 안에 믹싱했지만 입금 형태로 추적 가능
서로 다른 경로 입수한 지갑들 '한 주인' 발견도
이 기사를 공유합니다
박근모 기자
박근모 기자 2020년 3월30일 17:00
텔레그램에 ‘박사방’을 열고 미성년자를 포함한 여성들을 대상으로 성착취 범죄를 저지른 ‘박사’ 조주빈씨가 지난 19일 오후 서초구 서울중앙지방법원에서 구속 전 피의자 심문을 마치고 나오고 있다. 출처=김혜윤/한겨레
텔레그램에 ‘박사방’을 열고 미성년자를 포함한 여성들을 대상으로 성착취 범죄를 저지른 ‘박사’ 조주빈씨가 25일 오전 서울중앙지검으로 송치되기 위해 서울 종로경찰서를 나서고 있다. 출처=김혜윤/한겨레

미성년자를 포함한 여성의 성착취물을 유포한 텔레그램 ‘박사방’의 암호화폐 범죄수익이 조금씩 베일을 벗고 있다. 박사방 운영자 조주빈(24)씨는 수사망을 피하기 위해 '가짜 지갑주소'까지 퍼뜨리며 은닉에 나섰지만, 모든 입출금 기록이 공개되는 블록체인과 암호화폐의 특성이 그의 발자국을 서서히 재현해주고 있다.

코인데스크코리아와 한겨레는 텔레그램방에서 조씨가 스스로 공지한 주소 등 사건 관련 비트코인(BTC) 지갑주소 9개를 입수했다. 이 가운데 지갑 2개는 박사방과 활동 시기가 다른 것으로 나타나(그중 하나는 암호화폐 서비스 개발자 ㄱ씨의 것이었다) 제외했다. 또 1개는 암호화폐 직접 거래소에서 입금된 내역이 없어 뺐다. 거래소를 통하지 않은 암호화폐는 출처를 확인하기 어려울 때가 많다. 남은 6개 주소에는 국내외 거래소에서 직접 입금된 기록이 있어, 분석 과정에선 결과의 신뢰도를 높일 수 있었다. 이들 주소에 대해 온체인 데이터 분석업체 '크립토퀀트'와 함께 분석 작업을 진행했다. 

6개 지갑의 거래 내역을 살펴보니, 2019년 8월 이후 총 102차례에 걸쳐 비트코인이 입금된 것으로 나타났다. 조씨는 지난해 7월부터 입장료를 받으며 본격적인 성착취동영상 유통방을 운영한 것으로 알려져있는 만큼 시기적으로는 활동 시기와 일치한다. 전체 입금액은 10.19 BTC 정도였다. 각각의 입금된 시기에 맞춰 원화로 환산하면 9400만원에 이르는 규모다.

이들 지갑에서는 업비트(18건), 바이낸스(10건), 빗썸(2건), 비트렉스(2건), 오케이엑스(2건), 비트멕스(1건) 등 암호화폐 거래소에서 모두 35회에 걸친 '직접 입금'이 발견됐다. 거래소들은 가입 때 신원확인을 하기 때문에, 수사기관이 트랜잭션ID(TXID)와 가입 정보만 확보하면 35명의 입금자가 누구인지 밝혀낼 수 있다. 경찰은 이미 국내 4대 거래소인 업비트와 빗썸으로부터 조씨 추정 계좌로 암호화폐를 입금한 회원 정보를 제출받은 것으로 알려졌다.

다만, 개인 지갑에서 입금된 것으로 추정되는 나머지 67건은 신원 확보가 어려울 수 있다. 입금 금액은 60만원 이하가 76건으로 대부분 소액방 '입장료'로 추정된다.

박사방을 이용한 것으로 추정되는 이들이 이용한 거래소. 출처=크립토퀀트
박사방을 이용한 것으로 추정되는 이들이 이용한 거래소. 출처=크립토퀀트

6개 지갑에서는 자금 흐름을 철저히 관리하며 자금원 은닉과 자금세탁을 도모한 흔적도 드러났다. 2019년 9월 이후로 각 지갑은 주소 하나당 입금자가 4명을 넘기지 않았다. 또 각 주소는 2~3일 동안 특정 시간대에만 쓰인 뒤 버려졌다. 암호화폐 지갑은 누구나 무수히 생성할 수 있다는 특징을 이용해, 여러 계좌를 운영했던 것으로 추정할 수 있는 대목이다.

입금된 비트코인은 최대 2일 안에 추적을 피하기 위한 믹싱(Mixing) 작업이 이뤄졌다. 암호화폐를 크고작은 액수로 쪼개 수많은 지갑주소로 반복적으로 나눈 뒤 뒤섞어 원래의 흔적을 못 찾게 만드는 믹싱은 전형적인 암호화폐 자금세탁 수법이다.

그럼에도 흔적은 남았다. 장병국 크립토퀀트 공동대표는 "다수의 지갑을 분석한 결과, 일정한 금액이 일정 기간마다 거래소에서 특정 지갑으로 이체되는 패턴을 발견할 수 있었다"면서, 각 거래소의 암호화폐 외부 출금 패턴을 분석한다면 박사방 이용자와 전체 입금 규모까지 추려낼 수 있다고 지적했다. 여러 지갑주소를 일회성으로 돌려서 썼을 가능성을 시사하는 부분으로, 이 또한 4대 거래소가 경찰에 제출한 자료에서 일부 추출 가능할 것으로 보인다.

 

여러 지갑이 결국 박사방으로 수렴됐다

조씨는 수사망이 죄어오자 수사에 혼선을 주려는 듯 자신의 소유가 아닌 가짜 암호화폐 지갑 주소를 뿌린 바 있다. 그가 지난 11일 텔레그램방에서 공지한 이더리움 지갑 주소의 주인은 암호화폐 블로거 ㄴ씨였고, ㄴ씨는 조씨와의 연관성을 부인했다. 그러나 코인데스크코리아가 별도로 입수한 위 지갑 주소들은 실제 조씨의 것일 가능성이 크다.

첫째, 기본적으로 지갑 이용 시기와 입금 금액 규모를 보면, 지금가지 여러 보도 등을 통해 알려진 조씨의 박사방 운영 형태와 유사하다.

분석한 방사방 지갑의 누적 입금 금액이 1억원에 달한다. 출처=크립토퀀트
분석한 박사방 지갑의 누적 입금 금액이 1억원에 달했다. 출처=크립토퀀트

둘째, 확보 경로와 입출금 거래소는 달랐음에도, 이 가운데 4개는 소유자가 동일한 것으로 나타났다. 이는 비트코인의 UTXO(송금 방식과 지갑 구조)가 이더리움 등 여타 암호화폐와는 다르다는 특징에 착안해 확인한 결론이다.

비트코인은 1백만분의 1 단위까지 쪼개서 주고받을 수 있지만, 송금하는 사람은 분할 권한이 없다. 보낼 때는 갖고있는 덩어리를 모두 보낸 뒤, 수신자로부터 잔액을 돌려받아야 한다. 처음 형성된 비트코인을 보낼 때 송금인은 1BTC를 일단 모두 보낸 뒤 잔액을 돌려받아야 하는 이유다. 이를테면, 1000원이 한 덩어리로 들어있는 지갑에서 900원을 누군가에게 보내려면, 일단 1000원 전부를 보낸 뒤 100원을 돌려받는 방식이 UTXO다.

장병국 크립토퀀트 공동대표는 UTXO를 구조화시킨 클러스터링 분류를 통해 소유주를 확인했다고 설명했다. 지갑 A에서 지갑 B로 900원을 송금하려면, B 지갑은 1000원을 받은 뒤  잔돈 100원을 지갑 A 또는 A 지갑 주인이 지정하는 다른 지갑(지갑 C)으로 전송한다. 따라서, 비트코인을 송금한 지갑(A)과 잔돈을 받는 지갑(C)의 소유주는 같다. 이처럼 클러스터링 분류로 송금 지갑과 잔돈 지갑을 수집해 매칭하면, 복잡한 입출금을 거친다 해도 같은 소유주의 지갑들을 알아챌 수 있게 된다.

크립토퀀트가 개발한 비트코인 추적 솔루션. 출처=크립토퀀트
크립토퀀트가 개발한 비트코인 추적 솔루션. 주소들은 흐리게 표시했다. 출처=크립토퀀트

이같은 과정을 통해 위의 6개 비트코인 지갑 내역 가운데 4개의 소유주가 동일하다는 것을 확인할 수 있었다. 장 대표는 "분석한 비트코인 지갑의 클러스터링 분류를 한 결과 4개 지갑의 소유자가 동일하다는 점을 발견했다"며 "각기 다른 시기에, 다른 방법으로 입수한 지갑의 소유자가 같다는 점은 동일인이 사용했다는 강력한 증거다"라고 말했다.

 

믹싱 추적하면 전체 그림 나올 수 있다

이번 조사에서 코인데스크코리아는 '박사' 조씨가 공지한 지갑 주소가 어떤 거래 양태를 보였는지를 1차적으로 추적했다. 향후 믹싱 등 자금세탁 요소까지 추적한다면, 비트코인에 국한해서는 전체 규모까지도 추정해낼 수 있을 것으로 보인다. 조씨는 모네로를 주요 거래수단으로 삼아온 것으로 알려져, 그것이 전체에서 어느 정도를 차지하는지 현재로선 가늠하기 힘든 상황이다. 코인데스크코리아는 복수의 암호화폐 솔루션 기업들과 함께 박사방의 암호화폐 추적을 진행중이다.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.



관련기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.