2024-04-18 19:40 (목)
"북한 등 정부후원 사이버 범죄자들 ‘믹서’ 악용해 훔친 가상자산 돈세탁·관리중"
상태바
"북한 등 정부후원 사이버 범죄자들 ‘믹서’ 악용해 훔친 가상자산 돈세탁·관리중"
  • 길민권 기자
  • 승인 2022.07.22 13:22
이 기사를 공유합니다
국가 주도 범죄와 사이버 범죄로 인해 2022 년 ‘믹서’ 사용량 사상 최고치 기록

믹서(Mixer)는 가상자산을 쪼개고 섞어서 재분배하는 기술로, 누가 전송했는지 알 수 없도록 만들기 때문에 사이버 범죄자가 주로 이용하고 있다. 가상자산 범죄를 추적하는 수사관 및 관련 규제 전문가들도 반드시 알아야 하는 가상자산 서비스 중 하나다. 

믹서는 가상자산 거래 시 개인정보를 보호하기 위해 설계되었지만, 자금 출처를 숨기는 데 사용될 수도 있다. 다르게 표현하면, 블록체인 추적을 어렵게 만들 수도 있는 것이다.

물론, 자금 출처를 공개하지 않는 정당한 사유가 있을 수 있다. 특히 억압적인 정부 하에서 살고있거나 합법적인 익명 거래가 필요한 사람들에게 중요하다. 그러나 이러한 믹서의 기능은 믹서가 KYC(Know Your Customer) 정보를 요청하는 경우가 거의 없다는 사실과 결합돼 사이버 범죄자들에게 매력적으로 다가온다. 

실제로, 불법 주소에서 보낸 모든 자금의 10%가 믹서로 전송되며, 불법 주소가 아닌 곳에서 믹서로 전송되는 금액은 전체 금액 중 0.3%에도 미치지 못했다.

체이널리시스가 특정 믹서 관련 거래를 혼합하고 자금의 원 출처를 확인할 수 있는 기능을 계속해서 개선한다면, 믹서는 머지않아 쓸모 없는 도구가 될 것이다. 그러나 체이널리시스의 데이터를 보면, 2022년 현재 그 어느 때보다 많은 가상자산이 믹서로 유입되고 있는 것을 확인할 수 있다.

믹서로 전송되는 금액은 매일 크게 변하지만 2022년 4월 19일에 5천180만 달러(676억 7천만원)로 사상 최고치를 기록했고, 이는 전년도(2021 년) 같은 날에 전송된 금액의 두 배 이상이다. 

◇믹서의 작동 원리

믹서는 사용자가 예치하는 자금과 인출하는 자금 사이의 연결고리를 끊기 때문에, 자금 흐름을 추적하기가 더 어려워진다. 믹서는 다수의 사용자가 예치한 자금을 모아 무작위로 혼합한다.

이후 사용자는 뒤죽박죽이 된 풀에서 자신이 예치한 금액에서 수수료를 제외한 금액을 돌려받을 수 있다. 일부 믹서는 시차를 두고 다른 주소에서 각기 다른 값의 자금을 받을 수 있도록 하여 자금추적을 훨씬 어렵게 만들기도 한다. 몇몇 믹서들은 각 거래에 대한 수수료를 변경하고 예치 주소의 유형을 변경해 믹서 사용 사실에 혼선을 준다.

◇믹서의 여러 유형

대부분의 믹서는 다음 세가지 범주 중 하나에 해당한다.

▲중앙집중식 믹서(Centralized mixers): 중앙집중식 믹서는 사용자가 지정한 주소로 사용자가 예치한 금액과 동일한 값의 가상자산을 보내거나, 수수료를 제외한 값의 가상자산을 보낸다.

▲코인조인 믹서(CoinJoin mixer): 코인조인 거래는 믹서 기능이 내장된 지갑에서 사용하는 거래 방식이다. 한 사용자 그룹 내에서 서로의 자금을 혼합하여 자금을 보내고 돌려받는다. 중앙집중식 믹서와 달리 코인조인 믹서는 관리를 받지 않으므로 사용자의 자금을 보유하고 있지는 않다.

▲스마트 컨트랙트 믹서(Smart contract mixers): 코인조인 믹서와 마찬가지로 스마트 컨트랙트 기반의 믹서는 관리를 받지 않는다. 그러나 스마트 컨트랙트 믹서는 한번의 거래로 사용자의 자금을 받고 보내지 않는다. 대신, 사용자가 자금을 보내면 믹서는 사용자가 미리 지정한 주소로 같은 값의 금액을 보낸다.

믹서들에게는 공통적으로 한가지 취약점이 있다. 바로 큰 규모의 거래에는 비효율적이라는 것이다. 사용자는 다른 사용자가 보낸 혼합자금을 받기 때문에, 만약 한 사용자가 다른 사용자에 비해 월등히 많은 금액을 예치해 믹서를 넘치게 한다면 그 사용자가 받는 금액은 결국 대부분이 자신이 예치한 금액으로 이루어져 있을 것이다. 

그리고 이는 자금의 원출처를 추적하는 걸 가능하게 한다. 다시 말해, 믹서는 비슷한 양의 금액을 예치하는 사용자가 많이 모여 있을 때 가장 잘 작동한다.

◇믹서의 호환성

믹서는 범죄자를 위해 자주 쓰이고 있지만 본질적으로는 불법이 아니다. 그러나 미국의 금융범죄단속네트워크(FinCEN, Financial Crimes Enforcement Network)는 은행비밀법(BSA, Bank Secrecy Act)에 따르면, 믹서는 송금업자에 해당하므로, 금융범죄단속네트워크에 등록할 의무가 있음을 분명히 밝혔다. 또한 자금 세탁 방지 규정 프로그램을 개발, 시행, 유지해야 하고 해당되는 모든 보고 및 기록 보관 요건을 충족해야 한다고 언급했다. 실제로 2020년 금융범죄단속네트워크는 등록되지 않은 화폐서비스사업(MSB, money services business)을 운영한 헬릭스(Helix)와 코인닌자(Coin Ninja)를 처벌했으며, 2021년에는 법무부가 비트코인 포그(Bitcoin Fog) 운영자를 돈 세탁, 무면허 송금 사업 등의 혐의로 체포해 기소했다.

현재로서는 대부분의 국가에서 화폐서비스사업(MSB)에게 적용되는 KYC 프로세스, 자금 출처 확인, 기본 고객 확인 및 실사 규정과 관련된 법을 지키는 믹서는 없다. 

개인정보보호 강화가 믹서 사용의 주요 이유이라는 것을 감안할 때, 이러한 규정을 준수하면서 사용자 기반을 유지하기는 어려울 것으로 보인다.

◇믹서 사용량 증가 원인

믹서 사용량은 2020년부터 분기대비 크게 증가하기 시작했으며, 2022년에는 증가세가 다소 주춤했지만 여전히 사상 최고치를 기록하고 있다.

위 그래프에서 볼 수 있듯이, 주로 중앙화 거래소, 디파이(DeFi) 프로토콜, 불법 활동에 연결된 주소에서 비롯되는 금액이 증가할 때 믹서 사용량이 증가한다. 특히 디파이 프로토콜은 믹서에 전송되는 금액 자체만 봤을 때도 증가했지만, 전체 금액에서 차지하는 비율도 커졌다는 것을 알 수 있다. 이는 전체 가상자산 생태계 내에서 디파이가 부상하는 시기와 일치하다는 것을 감안한다면 충분히 유추 가능하다.

믹서로 전송되는 불법 가상자산의 증가는 흥미롭습니다. 불법 주소에서 비롯되는 금액의 비율은 2021년 12%에서 2022년 현재 23%까지 증가했다. 

차트에서 이러한 불법 가상자산과 관련된 범죄 유형들을 살펴보면, 가장 눈에 띄는 것은 2022년 2분기에 제재를 받은 대상과 관련된 주소에서 믹서로 이동하는 막대한 규모의 자금이다. 아래 그래프에서, 2022년 현재까지 제재를 받은 대상 중 어떤 대상이 해당 자금을 믹서로 보냈는지 살펴보면 다음과 같다. 

2022년 4월 제재를 받은 러시아의 다크넷 시장인 하이드라(Hydra)의 경우, 2022년 제재 대상에서 믹서로 이동하는 전체 자금의 50%를 차지하고 있다. 중요한 것은, 해외자산통제국(OFAC)이 하이드라를 추적하기로 결정한 이유가 마약 판매 때문만은 아니라는 것이다. 

법무부 관계자는 하이드라가 다른 다크넷 시장, 암호화폐 도난 및 랜섬웨어 공격을 통해 자금을 세탁하는 역할을 했으며 사이버에서 사용되는 도난 데이터와 해킹 도구의 판매를 촉진했다고 밝혔다. 

러시아가 사이버 범죄와 관련해 수행하는 엄청난 역할과 이러한 사이버 범죄 집단 중 일부가 러시아 정보서비스와 연결되어 있다는 것을 감안할 때, 하이드라와 같은 서비스에서 믹서로 이동하는 자금의 증가는 국가 안보의 관점에서 상당히 심각한 상황이다.

제재 대상에서 믹서로 이동하는 거의 모든 자금은 북한 정부와 관련된 두 그룹인 라자루스 그룹(Lazarus Group), 블렌더(Blender.io)에서 비롯된다. 

라자루스 그룹은 북한 정부를 대신해 가상자산 해킹을 담당하고 있는 사이버 범죄 조직이며, 관련 그룹들과 함께 오늘날에도 매우 활발하게 활동하고 있다. 이미 2022년에 북한 정부와 관련된 해커들이 대부분의 디파이 프로토콜에서 10억 달러(약 1조 3천억원) 가치 이상의 가상자산을 탈취한 것으로 추정된다. 

반면 블렌더는 라자루스 그룹을 비롯해 북한 관련 조직들이 훔친 금액을 세탁하는 역할을 맡고 있으며, 이로 인해 올해 처음으로 제재 받은 믹서가 되었다. 다른 믹서에 보내는 모든 자금을 통해 블렌더가 활발히 사용되고 있음을 알 수 있다. 

러시아와 관련된 범죄 조직, 또 북한과 관련된 범죄 조직에서 믹서로 전송된 자금은 2021년과 2022년에 특히 증가했다.

◇개인정보와 안전 사이의 균형

믹서는 규제 기관과 가상자산 커뮤니티 구성원에게 어려운 질문을 제기한다. 사실상 모든 사람은 금융 개인정보보호가 중요하며, 믹서와 같은 서비스가 이러한 개인정보 보호를 위해 필요하다는 사실을 인정할 것이다. 

그러나 현재 믹서를 통하는 자금의 25%가 불법 주소에서 유입되고 있는 등 믹서가 자금 세탁의 도구로 악용될 가능성이 상당히 높고, 정부와 관련된 사이버 범죄자들이 믹서를 악용하고 있다는 사실을 데이터가 보여주고 있다. 

체이널리시스는 “민간과 공공 부문에 속한 관계자들이 믹서와 관련된 위험에 대처하는 방법에 대해 협력하고, 협력에 필요한 모든 데이터를 제공하고 있다”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트