‘박사방’에서 암호화폐의 어둠과 빛을 보다
암호화폐 업계 ‘검은돈’ 인식 퍼질까 ‘한숨’
생태계 커지자 처음엔 없던 범죄 이용 생겨
익명성 노리지만 ‘거래 공개’ 탓 추적 가능
은닉기법과 추적기법 쫓고 쫓기며 발전 중
자금세탁 방지기구, 은행 수준 신원파악 요구
이 기사를 공유합니다
박근모 기자
박근모 기자 2020년 4월28일 07:00

텔레그램 대화방을 통해 성착취물을 제작·배포한 ‘박사’ 조주빈(24)씨와 그 일당의 죄를 묻고 범죄수익을 찾아내는 수사와 재판은 아직 진행 중이다. 하지만 초기 보도 당시 그들이 암호화폐로 범죄수익을 챙겼다는 소식을 접한 블록체인 업계는 깊은 한숨을 쉴 수밖에 없었다. 암호화폐는 출처와 흐름을 숨기려는 검은돈 같은 존재라는 인상을 뭇 대중에게 심어줄 거란 걱정 때문이었다. 나름 선진 산업의 총아라는 블록체인 기술에 몸담은 이들이, ‘검은 세계’라는 인식이 달가울 리 없다.

텔레그램에서 성착취물을 제작·배포한 ‘박사' 조주빈씨 사건은 암호화폐에 범죄 수단이라는 오명을 안겨줬지만, 동시에 개선의 방향에 대한 고민도 남겼다. 조씨가 3월25일 서울 종로경찰서에서 검찰로 송치되면서 기자들의 질문을 받고 있다. 출처=공동취재사진/한겨레
텔레그램에서 성착취물을 제작·배포한 ‘박사' 조주빈씨 사건은 암호화폐에 범죄 수단이라는 오명을 안겨줬지만, 동시에 개선의 방향에 대한 고민도 남겼다. 조씨가 3월25일 서울 종로경찰서에서 검찰로 송치되면서 기자들의 질문을 받고 있다. 출처=공동취재사진/한겨레

 

가치가 생기자 범죄로 연결됐다

 암호화폐는 블록체인 기술에서 파생된 존재로, ‘테크핀’(Tech-Fin)의 대표주자로 꼽힌다. 테크핀은 금융기업들이 기술을 활용하는 개념인 ‘핀테크’(Fin-Tech)와 달리, 기술을 기반으로 금융 서비스를 제공하는 형태를 일컫는다. 암호화폐가 테크핀으로 주목받는 것은 모든 거래 내역을 기록해 변경도 삭제도 불가능하게 만드는 기술적 특징 덕이다. 중앙화된 기구에 대한 신뢰 없이도 거래 참여자들을 신뢰할 수 있고, 온라인에서 모든 거래를 진행하니 국경을 막론하고 전세계 어디서나 주고받을 수 있다는 특징도 있다. 비트코인, 이더리움 등은 사용자가 늘면서 현금 같은 가치 저장 특성도 갖게 됐다.

 블록체인의 시초인 비트코인이 탄생한 2009년 이래 한참 동안 암호화폐가 범죄에 쓰인 경우는 거의 없었다. 그때만 해도 비트코인 그 자체는 그다지 가치가 없었기 때문이다. 비트코인의 가치는커녕 존재 자체가 신기하던 시절이었고, 2010년 한 프로그래머는 비트코인 1만개(BTC)로 피자 두 판을 구매해 화제가 됐다. 지금 시세로 따지면 몇백억원을 지불한 것이지만, 그때는 그것도 의미있는 실험이었다.

 비트코인의 쓰임새가 범죄 영역까지 확산한 것은 2015년께부터 암호화폐 생태계가 커진 뒤였다. 2017년 세계 150개국 20만대 이상의 컴퓨터를 망가뜨린 ‘워너크라이’ 랜섬웨어 사건이 대표적이다. 워너크라이는 컴퓨터의 취약점을 파고들어 중요 파일을 암호화해 사용할 수 없도록 만들었다. 해커는 파일을 복구해주는 조건으로 비트코인을 요구했다. 2015년 7월부터 2년8개월 동안 운영된 세계 최대 아동 성착취물 사이트 ‘웰컴투비디오’(W2V) 사건도 있다. 운영자 손아무개(24)씨는 유료회원 4천여명에게 아동 성착취물을 판매하고 그 대가로 비트코인 약 415개(당시 시점 기준 약 4억원)를 챙겼다.

 이 시기 비트코인은 한때 개당 2천만원을 훌쩍 넘길 정도로 자체의 가치를 뽐냈지만, 그 때문에 범죄 수단이 된 것은 아니었다. 오히려 암호화폐의 또 다른 기술적 특징인 익명성이 주된 원인이었다. 은행계좌 같은 구실을 하는 암호화폐 지갑 주소는 임의 방식(랜덤)으로 생성된 20~60자리 숫자·알파벳으로 구성돼 있는데, 은행 계좌와 달리 사람 이름이 붙어 있지 않다. 지갑만 갖고는 누구 것인지 알 수가 없다는 뜻이다. 결국 ‘박사방’의 조씨 일당이 성착취 동영상 판매 대가로 암호화폐를 받기로 한 것도, 이 같은 익명성에 숨어 자금 추적을 피하려는 의도였을 것이다.

 

암호화폐를 둘러싼 쫓고 쫓기는 추격전

 그러나 익명성이 암호화폐 고유의 특성이긴 해도, 대개는 누구나 거래 내역을 볼 수 있다. 따라서 추적이 가능하다. 경찰청에 따르면, 미국 국토안보수사국(HSI)·국세청(IRS)·연방검찰청, 영국 국가범죄청(NCA) 등은 웰컴투비디오 사건 관련 지갑과 비트코인의 흐름을 추적해 손씨의 신원을 확인한 뒤 체포할 수 있었다. 코인데스크코리아가 ‘박사방’ 사건 관련 암호화폐 지갑 주소를 확보한 뒤, 블록체인 보안 기업 웁살라시큐리티, 암호화폐 데이터 분석 기업 크립토퀀트 등과 암호화폐 추적을 진행한 것도 마찬가지 배경에서다. 경찰 또한 조씨 일당의 자금 흐름을 면밀히 추적해 분석했다.

 기본적으로 암호화폐 범죄 자금은 익명의 지갑들을 거치며 흐름을 숨기려 들지만, 이를 뒤쫓는 보안업체와 데이터 분석 업체도 추적 기술을 개발한다. 가령 대표적인 추적 기술이 ‘더스팅’이다. 먼지만큼 소량의 암호화폐(더스트)를 범죄에 사용된 지갑에 직접 보낸 뒤 그 흐름을 샅샅이 파헤치는 식이다. 웰컴투비디오 사건 수사 때 쓰인 방식이다. 암호화폐의 경로를 직접 확인한다는 점에서 정확도는 높다. 하지만 사용된 지갑이 많거나 거래 내역이 복잡하게 얽혀 있으면 빠르게 확인하기 어렵다.

 이를 보완한 것이 빅데이터와 인공지능(AI)을 결합한 방식이다. 박사방 자금 추적에서도 우선 무수한 거래 내역과 의심스러운 지갑을 수집한 뒤, 인공지능으로 특정 거래 내역 패턴을 파악한 자료를 활용했다. 전송 과정에서 사실상 소유주가 같은 것으로 나타난 관련 지갑들을 묶는 ‘클러스터링’ 기법도 동원됐다. 이렇게 하면 더 빠르고 효율적인 추적이 가능해진다. 체이널리시스나 엘립틱 등 국외 저명한 분석 기업들도 쓰는 방식이다.

 단, 패턴 기법은 더스팅보다 추적 속도는 빠르지만 오류 가능성도 존재한다. 이 때문에 실제 추적 작업에서는 더스팅을 기본으로 하고, 경우에 따라 필요한 기술이 추가되는 경우가 많다. 더불어 추적 경로를 한눈에 확인할 수 있도록 하는 시각화도 수반된다.

 추적의 기술이 향상되면 이를 따돌리려는 해킹 기술이 개발되는 것은 당연하다. 박사방 사례에서 드러났듯 암호화폐를 수천번 쪼개고 합치는 ‘믹싱 앤 텀블러’(믹싱)가 대표적 사례다. 암호화폐 지갑은 누구나 무한히 만들 수 있다는 특징을 이용한 수법으로, 초창기에는 범죄자들이 직접 몇십개의 지갑을 생성해 이리저리 암호화폐를 옮겼다. 하지만 현재는 전문 믹싱 서비스가 이용된다. 예컨대 조씨 일당이 이용했던 핀란드 소재의 암호화폐 장외 거래소 ‘로컬비트코인’은 다른 지갑으로 암호화폐를 보낼 때 자체적으로 몇천번의 믹싱을 거친다.

 비트코인 지갑의 특이성을 이용한 ‘코인조인’(CoinJoin)도 추적자들을 따돌리려는 수단 중 하나다. 비트코인의 거래 방식은 항상 잔돈을 거슬러주는 방식이다. 애초 1개를 보낸 뒤, 보내야 하는 만큼을 제외한 나머지는 돌려받는 식이다. 가령, 700원을 보내려면 1천원을 보낸 뒤 300원이 돌아오게 된다. 그런데 이를 반복하다 보면 아주 작은 단위까지 쪼개지게 된다. 지갑 몇개 안에서 서로 다른 출처의 비트코인 거래를 반복하면 원류를 찾기가 힘들다. 특히 범죄수익과 정상 거래 내역을 섞어버리면 한쪽을 특정하기가 어려워진다.

 이처럼 한층 진화한 믹싱, 코인조인 등 기법이 있는데도 전문가들은 그것이 만능이 될 수는 없다고 강조한다. 패트릭 김(한국명 김형우) 웁살라시큐리티 대표는 “거래 내역을 숨기거나 추적을 피하고자 하는 경우는 대부분 범죄수익일 확률이 높다”며 “이 경우 믹싱 서비스나 코인조인 서비스를 제공하는 업체가 중간에서 가로채는 경우가 태반”이라고 전했다. 또 김 대표는 “로컬비트코인 같은 주요 믹싱 서비스 기업들은 수사기관 요청 시 반드시 협조한다”고 덧붙였다. 실제 지난해 5월 유로폴과 네덜란드 금융범죄수사국은 당시 세계 최대 암호화폐 믹싱 서비스 기업이던 베스트믹서닷아이오의 범죄자금 세탁 연루 사실을 확인해 폐쇄시켰다.

암호화폐 보안 기업 웁살라시큐리티의 추적 시스템(CATV)을 통해 ‘박사' 조주빈씨의 이더리움 계좌 자금 흐름을 추적했다. 여러 색깔의 점은 지갑, 선은 자금 흐름을 뜻한다. 그중에 빨간색은 조씨 지갑의 자금 흐름으로, 한 국내 거래소로 들어간 모습도 포착됐다. 출처=웁살라시큐리티
암호화폐 보안 기업 웁살라시큐리티의 추적 시스템(CATV)을 통해 ‘박사' 조주빈씨의 이더리움 계좌 자금 흐름을 추적했다. 여러 색깔의 점은 지갑, 선은 자금 흐름을 뜻한다. 그중에 빨간색은 조씨 지갑의 자금 흐름으로, 한 국내 거래소로 들어간 모습도 포착됐다. 출처=웁살라시큐리티

 암호화폐 범죄화가 벽에 맞닥뜨리는 것은 ‘박사’ 조씨 일당이 가장 선호했던 모네로도 마찬가지다. 모네로는 암호화폐의 거래 내역 공개가 사생활을 침해하는 것이라며 송금자만 거래 내역을 확인할 수 있도록 설계된 ‘코인’이다. 외부인들은 들여다볼 수 없다. 모네로 외에도 대시, 지캐시(제트캐시) 등이 이런 특성을 가진다. 하지만 모네로도 간접적이나마 추적이 가능하다. 모네로 채굴자는 보유자들의 아이피(IP) 주소를 알 수 있기 때문에, 수사기관이 모네로 채굴자와 협력한다면 송금자, 보유 규모 등을 모두 알 수 있다.

 

암호화폐 범죄수익, 어떻게 환수할 것인가

 범죄수익으로 얻은 암호화폐는 몰수·추징 등 환수 대상에 해당한다. 대법원은 2018년 아동·청소년 성착취물 사이트 운영자의 범죄수익 비트코인 191개(당시 약 16억원) 몰수가 정당하다고 판결했다. 대법원은 판결을 통해 “비트코인은 재산적 가치가 있는 무형의 재산”으로 정의했다. 비단 우리나라뿐 아니라 미국과 독일 등도 암호화폐 범죄수익은 환수 대상이다.

 조주빈씨의 경우에도 판매 대가를 받은 암호화폐 지갑만 확보한다면 어디에 얼마가 보관됐는지 알 수 있다. 코인데스크코리아가 관련 지갑 20여개를 입수해 파악한 바로는, 수억원 상당의 암호화폐가 들어온 뒤 믹싱을 거쳐 국내외 주요 거래소로 들어간 것이 확인됐다.

 국내 거래소들의 지갑은 협조를 받아 환수하는 것이 어렵지 않을 전망이다. 국외 거래소로 옮겨진 범죄수익 환수는 거래소가 위치한 해당국 수사기관의 협조가 필요하다. 범죄수익이 개인 지갑에 보관된 경우엔 조씨 등 피의자들의 협조가 반드시 필요하다. 한서희 법무법인 바른 변호사는 “조씨가 개인키를 분실했다고 하면 강제할 방법이 사실상 없다”고 말했다.

 그러나 국외 거래소가 됐건 개인 지갑이 됐건 모든 거래 내역이 공개된 블록체인에서 해당 암호화폐를 콕 집어 ‘범죄수익’이라는 꼬리표를 붙일 수는 있다. 지금 당장 환수하지 못하더라도 조씨 등이 인출하지 못하도록 하는 조처다. 이미 수많은 보안 업체와 거래소는 해킹이나 범죄에 사용된 지갑과 암호화폐를 추적해 이 같은 ‘태깅’ 작업을 해둔 상태다. 블록체인상에 한번 기록된 정보는 위·변조가 불가능한 만큼, 범죄수익으로 낙인찍힌 지갑과 암호화폐는 어디로 이동하는지 항상 감시된다. 만약 범죄수익이 현금화를 위해 거래소로 들어오기라도 하면, 곧바로 확인도 가능해지는 셈이다.

 모네로는 이 경우에도 예외다. 모네로는 ‘범죄 지갑’을 확보해도 지갑 속 잔액이나 이동 내역을 알 수 없다. 조씨 일당은 이를 악용해 2019년 10월 이후로는 “비트코인, 이더리움 말고 성착취 동영상 구매를 원하면 모네로로 입금하라”고 요구했다. 경찰에 따르면, 구매자들은 ‘암호화폐 구매대행업체'나 국내 거래소를 통해 모네로를 조씨 일당에게 보냈다. 다만 모네로 또한 취급 거래소가 점점 줄고 있어 현금화 길이 막히고 있다는 한계가 있다.

 

암호화폐 범죄 악용을 막기 위해

 이처럼 박사방이 드러낸 암호화폐 범죄화의 단면은 오히려 그 한계까지 확인시키는 계기가 됐다. 이는 자금 세탁과 테러 등 범죄 행위에 암호화폐가 쓰이는 것을 막기 위한 국제적 움직임이 본격화하는 것과 맞물려 있다.

 지난해 6월 국제자금세탁방지기구(FATF)는 한국을 포함한 37개 회원국을 대상으로 ‘암호화폐 규제에 관한 권고안'을 발표했다. 권고안은 암호화폐 거래소나 서비스 업체 등 ‘가상자산 서비스제공자’(VASP)들에게 ‘여행규칙’(travel rule) 준수를 의무사항으로 포함시켰다. 말 그대로 돈이 주인을 바꿔가며 ‘여행'하는 과정에서 거쳐간 사람들이 누구인지 신원과 목적 등을 기록하고, 당국이 요청하면 제공하라는 뜻이다. 암호화폐 거래소에 송수신자의 정보를 모두 보관하는 은행 수준의 자금 세탁 방지 시스템을 요구한 것이다. 국내에서는 이를 반영한 특정금융정보법 개정안이 내년 3월 시행될 예정이다.

 이 같은 방향은 암호화폐의 범죄 악용을 크게 감소시킬 전망이다. 암호화폐 현금화의 가장 주요한 통로인 거래소가 규제 감독 아래 놓이게 되기 때문이다. 물론 현금화 수법이 한층 음성화할 가능성도 없지 않다. 그러나 어차피 현금도, 은행 계좌도 일부는 음성적으로 범죄에 쓰인다. 업계는 암호화폐가 범죄 수단이라는 오명을 벗을 수 있다는 기회에 더욱 주목하는 분위기다.

 물론 이것만으로 완벽할 수는 없다. 패트릭 김 대표는 “빈틈은 어디에나 있다. 거래소 등 암호화폐 업계와 사법당국, 보안업체가 함께 범죄 정보를 공유하고 대응한다면 암호화폐 피해를 줄일 수 있다”고 말했다.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.



관련기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.