How governments seize millions in stolen cryptocurrency

美 정부는 이렇게 도난당한 거액의 암호화폐를 압수한다

암호화폐 해킹이 점점 늘어나고 있다. 그런데 도난당한 암호화폐가 추적 범위 밖으로 사라지기 전에 정부는 어떻게 암호화폐를 추적, 동결, 압수할 수 있을까?

최근 수백만 달러 규모의 암호화폐 도난 사건이 다수 발생하다 보니 사건을 일일이 구분하기조차 쉽지 않다. 조직 범죄, 허술한 사이버보안, 돈을 노리는 스파이, 온갖 종류의 다채로운 범죄자들 등에 대한 뉴스가 줄을 잇고 있어서 대규모 절도 사건조차 대중들의 주목을 받지 못하고 있는 실정이다.

그러나 정부가 도난당한 암호화폐를 되찾는 경우도 있다. 7월 셋째 주 미국은 미국 의료 기관들을 갈취하여 돈을 빼앗은 것으로 알려진 북한 해커들로부터 50만 달러의 암호화폐를 압수했다. 물론 이는 미국 정부가 압수한 전체 암호화폐 규모를 고려하면 조족지혈 수준이다. 2021년 미 국세청(Internal Revenue Service, IRS)이 압수한 암호화폐 총액은 무려 35억 달러에 달한다.

그렇다면 어떻게 이런 식의 암호화폐 압수가 가능한 것일까?

암호화폐를 도난당했을 때 가장 먼저 벌어지는 일은?

노련한 범죄자들은 더러운 돈을 세탁해야 한다는 것을 안다. 오랜 역사를 가진 돈세탁은 불법 행위로 얻은 자본을 마치 범죄 자체와 관련이 없는 것처럼 보이게 만들어서 자유롭게 사용할 수 있는 돈으로 탈바꿈하는 행위다.

IRS의 암호화폐 사건 전문 요원이었던 크리스토퍼 잔체스키(Christopher Janczewski)는 과거 MIT 테크놀로지 리뷰와의 인터뷰에서 “돈세탁은 해킹보다 더 정교하다”고 말한 바 있다. 2021년에는 암호화폐를 통해 86억 달러가 넘는 돈이 성공적으로 세탁됐다.

국가 중에서도 독특한 위치에 있는 북한은 재정적으로 고립된 체제에 자금을 대는 수단으로 암호화폐 절도를 활용해왔다. 북한은 자국에 가해진 제한을 피하고 무기에서 사치품에 이르기까지 모든 것을 구매하기 위해 암호화폐를 사용한다.

이들이 사용하는 전술은 계속해서 진화하고 있다. ‘필체인(peel chain)’은 자금의 출처와 목적지를 밝히는 데 혼란을 주기 위해 수천 건의 거래를 통해 암호화폐를 이동시키는 방법이다. ‘체인호핑(chain hopping)’은 블록체인과 통화를 넘나든다. ‘암호화폐 믹서(cryptocurrency mixer)’는 입금과 출금의 연결을 끊기 위해 아무에게나 거래를 하고 나서 다른 지갑이나 심지어 다른 통화로 돈을 지불하는 방식이다.

이 모든 방법은 수사관들을 따돌리기 위한 것이다.

법집행 기관의 자금 추적 방법은?

미국 정부는 블록체인 감시 및 분석 도구에 상당히 투자해왔다.

체이널리시스(Chainalysis), TRM 랩스(TRM Labs), 엘립틱(Elliptic) 같은 회사들은 암호화폐 생태계를 추적하고 분석하는 소프트웨어를 판매한다. 정부는 암호화폐를 훔치고 세탁하고 불법으로 현금화하는 해커들의 정체를 드러내기 위한 방법으로 이 초기 산업에 크게 투자해왔다.

예를 들어 TRM 포렌식(TRM Forensics)은 26개의 다양한 블록체인에 걸친 암호화폐 거래를 추적하고 자금 흐름을 그래프로 표시하여 코인이 최종적으로 도착한 지갑을 식별하도록 설계된 제품이다. 이와 유사하게 체이널리시스 리액터(Chainalysis Reactor)는 미국 정부 기관 같은 고객에게 다른 암호화폐 자산에 대한 지속적인 감시를 제공하여 특정 지갑이 다크넷 시장, 고위험 암호화폐 거래소 또는 온라인 카지노에 속하는지 알 수 있게 한다.

이러한 소프트웨어를 이용하면 정부 조사와 법정 기소를 위해 시각화된 데이터를 얻을 수 있다. 그러나 소프트웨어를 통해 아무리 추적한다고 해도 실제로 돈을 돌려받는 것은 다른 문제다.

정부는 어떻게 실제로 돈을 압수하나?

TRM 랩스의 정부 업무 책임자이자 이전에 연방 검사였던 애리 레드보드(Ari Redbord)는 “추적은 가용 가능한 한 가지 도구에 불과하다”며 “결국 원하는 것을 얻으려면 경찰이 움직여야 한다”고 밝혔다.

미국 정부가 합법적으로 자금에 접근하여 원하는 자금을 압수하기 위해 사용하는 기본적인 방법에는 세 가지가 있다.

올해 미국 역사상 단일 압수로 가장 큰 금액을 기록한 사건이 있었다. 올해 미 법무부는 2016년 가상화폐 거래소 비트파이넥스(Bitfinex) 해킹 당시 도난당한 것으로 알려진 암호화폐 36억 달러를 압수했다. 이 사건은 몇 가지 면에서 미국 경찰들에게 훨씬 간단한 일이었다. 미국 거주자 두 명에 대한 체포가 맨해튼에서 이루어졌기 때문이다.

블록체인 분석 결과 도난당한 암호화폐는 오랫동안 현금으로 돈세탁이 시도됐으나 성공하지 못한 채 용의자가 가진 계좌로 옮겨졌던 것으로 드러났다. 경찰은 암호화된 파일이 들어 있는 용의자의 클라우드 저장 계정에 대한 압수수색 영장을 발부받았다. 해당 파일을 해독하자 그 속에 담긴 2,000개의 암호화폐 주소와 개인 키(private key)가 드러났다. 거의 모든 지갑은 비트파이넥스 해킹과 직접적으로 연결되어 있었다. 법 집행기관은 압수 영장을 발부받아 돈을 정부 소유로 압수했고 두 명의 용의자를 체포했다.

암호화폐 생태계는 대중들의 상상 속에서 ‘무법지대’처럼 인식되고 있다. 그러나 사실은 거래소를 비롯한 암호화폐 사업체들은 부유한 나라에서 사업을 영위하고 돈을 벌기 위해서 수년 동안 서방의 사법 제도에 매우 순응해왔다.

상당한 근거와 증명책임 요건을 충족하면 법집행 기관은 법을 준수하는 거래소에 흘러들어온 불법 자금에 대한 압수 영장을 발부받을 수 있다. 그리고 사실 대부분의 자금은 그런 합법적인 거래소로 들어오게 된다. 법집행 기관은 그 후에 암호화폐 사업자와 협력해서 자금을 정부가 통제하는 지갑으로 옮기거나 동결한다.

FBI 고위 간부 출신으로 체이널리시스의 경영진이 된 거바이스 그리그(Gurvais Grigg)는 “또 다른 방법은 그 음모에 가담한 사람이나 그들의 적이 어떤 식으로든 자신들에게 이익이 될 수 있도록 형량 협상을 하거나 정부에 협조하면서 개인 키를 제공하는 것”이라고 밝혔다.

세 번째 가능성은 대상의 보안을 손상시키는 것이다. 이는 다양한 방식으로 이루어질 수 있다.

레드보드는 “북한이나 러시아 같은 국가의 사이버 범죄 조직에 대항하기 위해 기밀 정보원 망을 구축하고 우리에게 그다지 우호적이지 않은 국가들을 포함해 다른 정부와 협력하려면 수년이 걸릴 수 있다”며 “따라서 그들의 서버나 컴퓨터를 해킹하거나 경찰들이 업무를 훌륭하게 수행하는 것 역시 한 가지 방법”이라고 말했다.

미국 국외에 있는 해커들은 조사하기 더 까다롭다. 미국에 협조하지 않는 나라에 용의자가 있다면 체포가 불가능할 수도 있기 때문에 검찰은 다른 곳에 집중한다.

11년 동안 검사 생활을 했던 레드보드는 “좋은 검사들은 형사 기소가 더 큰 수사의 한 부분일 뿐이라는 것을 이해한다”고 말했다. 용의자 검거도 중요하지만 초점은 ‘돈’에 있는 것이다.

다른 측면은 규제, 정치, 외교다. 그리그는 북한과 이란을 포함해 세상에는 국제적인 자금세탁방지법을 따르지 않는 일부 ‘불량 지역(rogue area)’이 있다고 지적하면서 “그러나 세상의 그런 부분들은 점점 더 작은 섬이 되어가고 있다”고 설명했다. 여기에는 두 가지 이유가 있다. 기업은 법을 준수해야 세계에서 가장 부유한 시장에 접근할 수 있고 국가 역시 법을 준수해야 자신들의 합법적인 명령이 존중받을 수 있기 때문이다.

그다음에 일어나는 일은?

정부가 암호화폐를 감시하고 압수하는 데 능숙해지면서 해커들과 그들의 범죄 전략은 계속해서 진화하고 있다.

믹서를 이용하는 것도 요즘 인기 있는 전략 중 하나다. 믹서는 다양한 출처에서 자금을 가져와서 그것들을 한곳에 모은 다음 다시 무작위로 되돌려 보내는 방식을 사용하여 자금의 출처와 자금이 최종적으로 도달할 지점이 어딘지 혼란을 준다. 믹서를 사용하는 데는 많은 이유가 있지만 믹서의 주고객은 항상 범죄자와 해커였다.

체이널리시스의 최근 보고서에 따르면 믹서를 이용해 이동한 자금이 올해 월평균 5,000만 달러가 넘는 것으로 드러났다. 이는 지난해보다 두 배나 높은 수치다. 블록체인 분석 기업들은 이 문제를 해결하고 신뢰할 수 있는 방법으로 자금을 관리하기 위해 애쓰고 있다. 그러나 현재로서는 범죄자들이 믹서를 계속 애용하는 것으로 보인다.

미국 재무부는 더 즉각적인 접근법을 택했다. 2022년 5월 미국은 암호화폐 믹서에 대한 첫 번째 제재를 발표했다. 암호화폐 믹서는 북한 해커들이 6,000만 달러의 암호화폐를 돈세탁할 때 사용된 것으로도 알려져 있다.

그리그는 “마지막으로 동시에 여러 공격이 발생하는 현상도 증가하고 있다”고 말했다. 그러면서 그는 “커다란 영양 수천 마리가 악어에게 잡히는 개체 수를 줄이기 위해 모두 한 번에 강을 건너는 상황을 생각해 보자. 공격자들은 당국이 개별 행위자를 붙잡는 것을 어렵게 만들겠다는 희망으로 한 번에 더 많은 공격을 퍼부어왔다”고 덧붙였다.

그는 “문제는 수사관들이 별개의 공격처럼 보이는 공격들을 다시 연결할 수 있으며 어떤 경우에는 이러한 대량 공격이 정부가 대규모 음모를 증명하는 데 오히려 도움을 줄 수도 있다는 것”이라고 말했다.자금을 추적하고 동결하고 압수하려는 노력은 더 중요해질 것이다. 그리고 앞으로도 해킹 같은 문제로 인해 수십억 달러가 계속해서 빠져나갈지도 모른다. 실제로 북한 해커들에 대한 미국의 압수 소식이 전해지기 바로 직전에 북한의 다른 해커 단체는 국제적인 랜섬웨어 해킹 작업에 나섰다.

미리보기 2회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.