'박사'는 초보...암호화폐 악용 범죄 진화에 대비해야

미성년자를 포함한 여성 성착취 범죄 영상을 제작하고 유포한 텔레그램 n번방·박사방 사건이 국민적 공분을 사고 있다. 가담자의 신상을 밝히고 처벌해야 한다는 국민 청원에 500만명 이상이 참여하고, 문재인 대통령 또한 엄정한 수사를 지시하면서 경찰 수사에 속도가 나고 있다. 범죄 가담자에 대한 철저한 수사와 더불어 사회 각계에서 이 같은 인격살인 범죄가 재발하지 않도록 할 수 있는 모든 노력을 강구해야 한다는 공감대도 형성되고 있다. 이에 제2의 n번방·박사방을 막기 위해 정부와 국회, IT 업계가 어떤 노력을 해야 하는지 살펴본다. [편집자주]

박사방 사건 수사에 암호화폐 거래 내역 분석이 활용돼, 상당한 성과를 내고 있다. 주범인 조주빈이 경찰 추적을 피하기 위해 암호화폐를 받고 박사방을 운영한 것이 오히려 유료 회원 전원에 대한 수사를 가능케 한 결정적인 증거가 됐다.

조 씨는 정보통신학 전공자로 IT 기술에 비교적 밝아, 추적이 어려운 암호화폐 모네로를 이용하거나 자금 출처를 알아보기 어렵게 만드는 믹싱 기법까지 동원했다. 하지만, 현재 경찰과 암호화폐 업계가 보유한 추적 기술에 비춰보면 초보적인 수준의 범죄 수법에 불과하다는 게 전문가들의 평가다.

이번 사건을 통해 암호화폐 추적이 수사의 결정적인 역할을 할 수 있다는 점이 알려지면서 범죄자들의 수법이 진화할 가능성도 충분히 예상된다. 제2의 n번방·박사방 사건을 막으려면 반드시 암호화폐 거래 추적 체계에 대한 점검과 업그레이드가 필요한 이유다.

■조주빈, 추적 회피 목적으로 암호화폐 악용

박사방 운영자 조 씨는 2018년 12월부터 이달까지 여성들을 협박해 성착취물을 찍고 이를 메신저 텔레그램을 통해 유통한 혐의로 지난 16일 체포됐다. 경찰 수사에 따르면 조 씨는 3단계로 나뉜 유료방을 운영하며, 입장료 및 후원금 명목으로 각 방마다 20만원~150만원을 받아 챙겼다.

조 씨는 이 과정에서 추적을 피하려는 속셈으로 암호화폐를 이용했다. 집금용 암호화폐 지갑 주소(은행 계좌에 해당)를 공지하고 비트코인, 이더리움, 모네로 등을 받았다. 암호화폐 구입과 전송이 생소한 사람들에게는 구매대행 업체를 통해 보내도록 안내했다.

블록체인 네트워크 상에서 생성된 암호화폐 지갑 주소는 익명성을 가지는 데다가, 한 사람이 제한 없이 여러개의 주소를 만들어 쓸 수 있다는 특징을 범죄에 악용하려 한 것이다.

조 씨는 익명성이 강화된 다크코인 중 하나인 모네로를 주로 취급한 것으로 알려졌다. 모네로는 지갑 주소가 익명인 것은 물론, 거래 내역 자체가 블록체인에 남지 않아 추적이 거의 불가능하다.

거래 내역이 블록체인 원장에 남는 비트코인이나 이더리움을 취급할 땐 자금 출처를 알아보기 힘들게 믹싱 기법을 사용한 정황도 나왔다. 믹싱은 전송 받은 암호화폐를 아주 작게 쪼개 수천 개의 다른 지갑으로 전송했다가 다시 모았다를 반복해 자금 출처를 추적하기 어렵게 만드는 기법이다. 암호화폐 세탁에 자주 쓰인다.

암호화폐 거래추적 분야 전문가들은 "조씨가 인천의 한 전문대에서 정보통신학을 전공해 암호화폐에 대한 지식이 일반인 보다 높았던 것으로 추정된다"고 보고 있다.

■현재 암호화폐 추적 기술로 박사 수법 탈탈 털었다

하지만, 조 씨가 구사한 수법은 이미 경찰과 암호화폐 전문 기업들이 쉽게 추적 가능한 수준으로, 오히려 조 씨의 범행을 낱낱이 드러내는 증거가 됐다. 현재 기술로 조 씨가 사용한 암호화폐 지갑을 분석하면, 언제, 어디에서, 얼마의 암호화폐를 받았는지 분석하는 게 가능하다.

경찰은 조주빈이 사용한 암호화폐 지갑 주소를 확보하고, 해당 주소로 암호화폐를 송금한 내역이 있는 주소를 역추적하는 방식으로 박사방 가담자를 추적하고 있다.

암호화폐 거래소나 대행업체를 이용해 입금한 경우 어떤 업체의 지갑을 사용했다는 기록이 쉽게 확인된다. 또, 대부분 거래소와 대행업체가 가입과정에서 실명인증, 전화번호 인증 등을 포함한 고객확인(KYC)을 하기 때문에 박사방 유료회원 신상확보까지 이어질 수 있다.

익명성이 강화된 모네로를 사용한 경우도 찾아내는 데 어려움이 없을 전망이다. 다른 코인에 비해 모네로 구입 경로가 한정적이기 때문이다. 거래소 빗썸과 구매대행 업체 정도에서만 모네로를 구매할 수 있다. 조 씨가 주로 이용한 구매대행 업체인 베스트코인의 경우 모네로를 전송할 때 별도로 스크린샷을 찍어 송수신 내역을 기록하고 있다.

개인지갑을 이용해 전송한 경우 추적이 다소 복잡해 질 수 있지만 불가능한 것은 아니다. 역시 역추적을 통해 거래소 같이 현실 세계와 접점이 생기는 지갑을 찾아내 수사를 시작할 수 있다.

이번 조사에 협조하고 있는 한 보안전문가는 "경찰은 이미 2년전부터 암호화폐·다크넷 범죄 추적 시스템을 도입해 사용하고 있다"며 "이번 수사는 작년 말부터 지갑을 확보하고 분석하기 시작한 것으로 안다"고 말했다. 또 "한국은 암호화폐 거래소와 대행업체를 통한 거래가 대부분이기 때문에 가담자들 대부분 색출이 가능하고 명확한 기록이 남아 있어 이들이 발뺌하기도 어려울 것"이라고 강조했다.

조 씨가 사용한 암호화폐 지갑을 분석하면 모금한 범죄 자금이 어디로 흘러 들어갔는지도 추적가능하다. 조 씨가 믹싱 기법을 사용하긴 했지만, 현재 기술로 최종 집결한 지갑을 찾아내는 것은 어려운 일이 아니다.

암호화폐 거래 추적 솔루션 업체 웁살라시큐리티의 양근우 이사는 "믹싱을 거치면 수작업으로 추적이 어려워지긴 하지만 전문 솔루션으로 추적하는 건 어려운 일이 아니다"며 "최종적으로 어느 거래소 소유 지갑에 들어갔는지 분석하는 데 하루도 안걸린다"고 설명했다.

경찰은 지난 13일 국내 주요 거래소인 빗썸, 업비트, 코인원, 코빗과 대행업체 베스트코인, 비트프록시 등에 수사협조 공문을 보내고, 자료를 넘겨 받아 분석에 돌입했다.

FATF 권고안과 가이드라인을 반영한 특금법 개정안이 지난 5일 국회 본회의를 통과했다. 국무회의에서 공포되면 1년 뒤 시행될 예정이다.

■범죄자, 암호화폐 악용 수법 진화 가능성...빈틈 철저히 막아야

조 씨는 현실세계와 접점을 만들지 않기 위해 텔레그램을 이용하고 공범들과도 마주치지 않는 등 치밀함을 보였지만, 결국 암호화폐로 수익을 걷는 과정에서 범행 일체가 들통났다. 이 과정이 알려지면서 앞으로 암호화폐를 악용하는 범죄자들의 수법은 더 진화할 가능성이 커졌다.

전문가들은 범죄자들이 이제 거래소를 이용하지 않고 '개인 간 거래(P2P)'로 숨어들어 갈 경우를 우려하고 있다. 범죄 목적으로 개인 지갑을 이용해 암호화폐 전송할 경우 신상을 특정할 방법이 없어지기 때문이다.

다행히 지난해 하반기 국제적으로 암호화폐(가상자산) 사업자에 대한 규제가 정립되면서 암호화폐 지갑 서비스 업체도 이용자에 대한 KYC 의무 등을 부과받게 됐다. 하지만, 아직 규제 도입 초기 단계라 정비할 부분이 많다.

우리나라도 국제 흐름에 맞춰 암호화폐 사업자에 금융권 수준의 자금세탁방지의무를 부과하는 ‘특정금융 거래정보의 보고 및 이용 등에 관한 법률’(이하 특금법)을 내년 3월 시행할 예정이다. 시행령에서 다룰 세부적인 사항을 논의할 때 개인지갑 사업자에 대한 규제와 다크코인 취급 지침 등이 포함돼야 할 것으로 보인다.

더불어 범죄 시도를 초기에 잡아내 피해가 확산되기 전에 차단하는 방법도 고민할 필요가 있다. 다크웹이나 텔레그램에서 범죄 목적으로 사용되는 주소를 수집하고 블랙리스트로 만들어, 암호화폐 사업자에 공유되는 체계가 만들어져야 한다.

다크웹 데이터 분석 전문 업체 에스투더블유랩의 서상덕 대표는 "다크웹이나 텔레그램에 돌아다니는 암호화폐 주소를 수집해서 블랙리스트로 만들면 거래소 회원들이 이런 주소와 거래를 시도할 때 바로 알람을 주는 게 가능하다"며 "범죄에 연루된 거래일 가능성을 빨리 파악할 수 있고 수사기관도 범죄 피해가 확산되기 전에 인지할 수 있게 될 것"이라고 설명했다.

암호화폐 거래에 특화된 이상거래탐지(FDS) 솔루션을 도입하고, 다양한 범죄 사례에 맞게 패턴을 고도화할 필요성도 제기된다. FDS는 정상적인 거래 패턴에서 벗어난 거래를 잡아내는 기술이다. 예컨대 개설 한 후 소액만 입출금하던 계좌에서 갑자기 큰 돈이 여러차례 입금되면 이상거래로 탐지된다.