가상 자산 악용한 마약범, 이렇게 잡았다
38억원 규모의 범죄 거래 분석..클러스터링→식별→범주화 거쳐 파악 가능
최근 국제 가상 자산을 탈취하는 배후 조직으로 북한을 지목하는 등 가상 자산을 이용한 사이버 범죄자를 특정하거나 체포·압류하는 뉴스를 자주 본다. 필자에게도 종종 익명성을 띤 가상 자산을 추적할 수 있는지 많이 묻는다. 결론부터 말하면 추적할 수 있고 못할 수도 있다.
모두가 아는 것처럼 가상 자산은 고유의 내재된 투명성에 따라 모든 거래가 공개된다. 지금까지 거의 10억 건의 가상 자산 거래가 발생했고 그 누구나 모든 거래를 살펴볼 수 있다. 또한 가상 자산 거래는 익명성이 보장된다. 거래에 필요한 것은 오직 암호화 방식으로 생성된 가상 자산 주소 하나뿐이기 때문이다. 사용자들은 가상 자산을 거래하기 위해 이 주소를 다른 사람들과 공유할 수도 있고, 가상 자산과 연관된 개인 키를 사용할 수도 있다. 이런 방식으로 가상 자산 주소는 사용자의 가명 혹은 익명과 같은 역할을 한다.
가상 자산, 투명하지만 상호 작용 파악 힘들어
이렇듯 가상 자산은 투명하다. 하지만 가상 자산을 이해하거나 그 안에 있는 정보를 파악하고 읽는 것은 완전히 다른 차원의 문제다. 각각의 거래 사실 여부는 쉽게 파악할 수 있지만 각 거래가 무엇을 의미하고 어떤 상호 작용을 거쳤는지는 알지 못하기 때문이다. 가상 자산 거래는 <그림1>과 같이 이뤄진다.
<그림1>을 통해 우리는 한 지갑에서 다른 지갑으로 이동한 가상 자산과 거래 시간 등 기본적인 정보를 알 수 있다.
거래 내역과 정보는 모두가 확인할 수 있도록 공개돼 있지만 이 정보만으로는 특정되는 정보나 통찰력을 얻기에는 부족하다. 즉, 각각의 주소는 누구에게 속해 있는지, 결제를 위한 거래인지, 투자를 위한 거래인지, 스마트 계약인지, 원화나 달러 등 다른 통화로는 어느 정도 가치의 거래인지 등 여러 가지 정보를 쉽고 빠르게 얻기는 힘들다.
이때 블록체인 분석 플랫폼 기업은 방대한 데이터베이스를 통해 거래를 분석하고 추적한다. 가상 자산 주소를 현실과 연결하는 작업은 총 세 가지 과정, 클러스터링(clustering)·식별(identification)·범주화(categorization)로 나눠진다.
클러스터링은 동일한 대상에 의해 제어된다고 판단된 주소들의 모음을 구분하는 작업이다. 보통 머신 러닝을 통해 대량의 데이터에서 패턴을 발견해 데이터 간의 유사점을 찾고 유사한 그룹으로 구분한다. 블록체인 전체 역사에 걸쳐 분석 알고리즘을 실행하며 각각의 주소가 무엇인지 파악하기 위해 구분된다. 공동 지출 분석, 주소 변경, 행동 패턴, 필 체인(peel chain), 고급 난독화 기술 등 여러 전략을 사용하기도 한다.
클러스터링을 거친 주소들은 식별 단계로 이동하는데 이 과정에서 수동·자동 기술을 사용해 각 주소의 소유 대상을 식별한다. 같은 소유자가 여러 개의 주소를 갖고 있더라도 이때 식별된다.
범주화는 식별 과정까지 진행된 이후 각 주소의 위협 요소를 측정해 위험 단계를 제공하는 서비스 유형에 따라 대상의 레이블을 지정하는 작업이다.
세 가지 과정을 거친 결과는 가상 자산 조사, 규정 준수, 투자 도구에 반영된다. 이러한 툴들은 시각화를 거쳐 블록체인 활동을 쉽게 이해하고 분석할 수 있게 한다.
여기에서 가상 자산을 왜 분석하고 추적하는지에 대한 의문이 들 수 있다. 가상 자산은 저축·투자·결제·송금 등 다양한 합법적 활동에 사용된다. 가상 자산 내 안전한 거래를 위해 여러 블록체인 분석 플랫폼은 기업이 투자 전략을 수립하도록 돕고 금융회사가 암호화 서비스를 제공하며 정부 기관이 규제 활동을 감독할 수 있도록 한다.
8명의 마약범 잡은 방법
예를 들어 사기, 랜섬웨어, 자금 세탁, 아동 착취, 테러 자금, 다크넷 시장 활동 같은 범죄와 불법 활동에 가상 자산이 사용되기도 하는데 이와 같은 때 가상 자산 분석 플랫폼은 기업이 도난당한 자금을 추적하도록 돕고 가상 자산 회사는 자금 세탁 방지 정책을 준수하며 사법 기관은 범죄 실체를 식별하도록 돕는다.
수사관들은 블록체인 분석 기술과 시각화 기술을 활용해 사이버 범죄를 수사할 수 있다. 블록체인 분석 기술 교육을 받지 않으면 수사관들은 <그림2>과 같은 그래프를 얻게 된다.
하지만 블록체인 분석 기술을 활용하면 <그림2>과 같은 복잡한 그래프를 <그림3>와 같이 훨씬 더 간단하고 유용하게 재구성할 수 있다.
<그림3>와 같이 수정된 그래프에서는 8명의 마약 구매자와 판매자들 사이의 거래 관계를 볼 수 있는데 그들은 각각 같은 다크넷 시장과 관련이 있다. 이때 거래된 가상 자산은 38억원을 초과하는 규모였다.
수사관들은 체이널리시스의 리액터(Reactor)와 같이 좀 더 정밀한 도구를 사용해 주소 클러스터의 활동을 훨씬 더 자세히 조사할 수 있다. 예를 들어 다크넷 시장의 송수신 비율은 <그림4>와 같다.
거래소·제재 등 카테고리별 비율을 클릭하면 해당 활동의 자세한 거래 이력을 확인할 수 있고 수사관은 다크넷 시장에서 거래되는 주요 실체를 확인할 수 있다. 이처럼 블록체인 분석 도구는 가상 자산 수사의 실마리를 잡는 여러 방법 중 하나로 쓰이고 있다.
가상 자산은 신뢰를 계속 쌓아 가는 프로세스를 거치고 있다. 아직 많은 사람들은 가상 자산의 익명성과 범죄 활용을 염려하고 있지만 범죄를 사전에 파악하고 식별하는 등 시간이 갈수록 불법 거래 근절과 가상 자산의 신뢰를 쌓기 위해 많은 기업과 정부가 끊임없이 노력하고 있다.
백용기 체이널리시스 한국지사장
Copyright © 한경비즈니스. 무단전재 및 재배포 금지.