박사방 공범들, 암호화폐 범죄 '선수'들이었다
박사방 암호화폐 추적③
이더리움 지갑에 박사방 입금 수익 40이더 확인
박사방 사건 전부터 해킹으로 1500이더 탈취 정황
이 기사를 공유합니다
박근모 기자
박근모 기자 2020년 4월9일 12:00

여성 성착취 동영상을 판매한 혐의로 검찰 조사를 받고 있는 조주빈(24)씨가 전문 IT 범죄자들과 함께 문제의 텔레그램방을 운영했던 것으로 드러났다. 박사방 이전에도 지갑을 해킹해 10억원 가량을 탈취하는 등 적어도 2년 가량 암호화폐 관련 범죄를 일삼아온 이들이었다.

웁살라시큐리티의 AML 솔루션 CATV로 박사방 운영자가 사용한 이더리움 지갑을 살펴본 결과. 모든 이더리움이 들어간 오른쪽 맨 끝 점이 업비트 거래소 지갑이다. 출처=웁살라시큐리티
웁살라시큐리티의 AML 솔루션 CATV로 박사방 운영자가 사용한 이더리움 지갑을 살펴본 결과. 모든 이더리움이 들어간 오른쪽 맨 끝 점이 업비트 거래소 지갑이다. 출처=웁살라시큐리티

코인데스크코리아는 박사방 공동 운영자들이 성착취 동영상 유료방 입장료를 받은 이더리움 지갑 4개를 추가로 입수해 블록체인 보안 기업 웁살라시큐리티와 함께 분석 작업을 진행했다.

분석 결과, 박사방 운영자들은 지난해 10월 말부터 11월 중순까지 약 20일 동안 구매자 44명으로부터 약 40.43이더(약 950만원)를 수금했다. 박사방 지갑에 들어온 이더리움은 업비트(32명), 빗썸(10명), 코인원(1명), 바이낸스(1명) 등 여러 거래소 지갑에서 직접 송금된 것들이었다. 이 가운데 23건이 10만원, 10건이 20만원, 11건이 30만원 이상을 입금한 것으로 나타났다.

특이한 것은 지갑 4개로 들어온 이더리움이 합쳐진 '집금지갑'(A지갑)의 내력이었다. A지갑은 지난해 6월부터 웁살라시큐리티 암호화폐 추적 솔루션인 CATV가 관리하는 블랙리스트에 올라와있었다. 웁살라시큐리티는 세계 암호화폐 커뮤니티에 등록된 지갑 정보를 수집해 해킹과 스캠 등 범죄에 사용된 지갑들을 블랙리스트로 관리중이다.

A지갑을 추적했더니, 2017년 8월부터 모두 973이더(약 5억4600만원)를 해킹한 사건에 쓰인 적이 있었다. 스마트폰 메모 앱의 취약점을 노려 이더리움 지갑 개인키 등을 훔쳐간 사건이었다. A지갑의 이더리움은 믹싱앤텀블링을 거쳐 코인원, 업비트, 바이낸스, 비트렉스, 비트파이넥스 등 여러 거래소로 옮겨졌다. 현금화 여부는 거래소 협조가 있어야 확인 가능하다.

해킹으로 탈취한 이더리움 약 790개가 코인원으로 들어간 모습. 출처=웁살라시큐리티
해킹으로 탈취한 이더리움 약 790개가 코인원으로 들어간 모습. 출처=웁살라시큐리티

박사방 운영 시기에도 다른 블랙리스트 지갑으로부터 약 726.36이더(약 4억740만원)가 A지갑으로 입금된 것이 확인됐다. 박사방 입장료와는 다른 사건에서 유입된 자금이다. 이 자금 또한 최종적으로 업비트의 거래소 지갑으로 이동했다.

패트릭 김(김형우) 웁살라시큐리티 대표는 "성착취 동영상 판매를 하기 전부터 해킹이나 IT 범죄 등을 통해 암호화폐를 탈취하고, 현금화를 진행한 것으로 보인다"고 말했다. 웁살라시큐리티는 박사방 운영자들이 사용한 이더리움 지갑과 이전에 해킹으로 탈취한 이더리움을 옮긴 지갑이 A지갑으로 연결되는 구조는 동일하다고 분석했다. 또 지갑 간 입출금을 통해 최종적으로 거래소 지갑까지 출금을 진행한 자금 흐름 방식도 같다는 점 등에 착안해, 지갑 소유자가 동일하다고 추정했다.

 

박사방 입장료 이더리움, 업비트 거래소 지갑으로 옮겨져

조주빈씨를 비롯한 박사방 공동운영자들은 박사방 입장료로 수금한 이더리움을 여러 차례에 걸쳐 업비트의 거래소 지갑(핫월릿)으로 옮겼다. 그리고 거기서 멈췄다. 해당 이더리움은 업비트 거래소 내 어딘가에 보관돼있을 수도 있다. 하지만 현금화를 위해 거래소 지갑으로 옮겨지는 암호화폐 범죄수익의 특성상, 이미 출금이 이뤄졌을 가능성이 커보인다. 현금화 여부는 거래소에서 파악 가능하다. 현재 업비트를 비롯한 거래소들은 조씨와 박사방 수사와 관련해 경찰에 적극 협조하고 있다고 밝히고 있다.

조씨 일당이 이더리움 입장료가 아무런 은닉 시도 없이 곧장 국내 거래소 지갑으로 옮겨진 것은 이례적이다. 조씨 일당은 앞서 8~9월 비트코인으로 받은 입장료는 전문적인 믹싱앤텀블러 서비스를 이용해 출처와 흐름을 숨기는 자금세탁 작업을 진행한 바 있다. 다만, 박사방 운영자들이 같은 수법으로 암호화폐 관련 범죄를 진행해오면서 문제가 없다고 인식했을 가능성도 있어보인다.

또 해당 자금 규모나 이더리움의 흐름은 이번에 파악한 지갑 주소에 한정된 것이어서, 조씨와 공범들의 범죄수익 전체 규모가 얼마나 되는지를 보여주는 것은 아니다. 코인데스크코리아는 박사방 비트코인 입장료 지갑 주소를 통해 조씨의 범죄수익 1억원 가량을 추적해낸 바 있다.

텔레그램 대화방에서 성착취 동영상을 유포한 조주빈씨의 공범 '부따' 아무개씨가 9일 오전 서초구 서울중앙지법에서 열린 구속 전 피의자 심문(영장실질심사)에 출석하고 있다. 조씨와 공범들은 적어도 2년 이상 암호화폐 관련 범죄를 전문적으로 일삼아온 이들로 드러났다. 출처=연합뉴스
텔레그램 대화방에서 성착취 동영상을 유포한 조주빈씨의 공범 '부따' 아무개씨가 9일 오전 서초구 서울중앙지법에서 열린 구속 전 피의자 심문(영장실질심사)에 출석하고 있다. 조씨와 공범들은 적어도 2년 이상 암호화폐 관련 범죄를 전문적으로 일삼아온 이들로 드러났다. 출처=연합뉴스

한편, 조씨의 공범 '부따' A(18)씨는 9일 구속심사를 받기 위해 서울중앙지법에 출석했다. 경찰은 지난 7일 A씨에 대한 구속영장을 신청했다. '부따'라는 대화명으로 참여자들을 모집·관리하고 범죄수익금을 조씨에게 전달한 혐의다. 조씨의 변호를 맡은 변호인은 조씨 외에 '부따', '사마귀', '이기야'라는 닉네임을 가진 3명의 박사방 관리자가 더 있었다"고 밝힌 바 있다.

경찰은 유료대화방에 들어간 회원들의 신원 파악도 진행중이다. 특히 어린이 대상 성착취물을 소지한 혐의(아동·청소년의 성보호에 관한 법률 위반 등)로 10여명을 우선 입건해 수사 중이다.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.



관련기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.