공격자들이 랜섬웨어로 피해자를 협박하고 비트코인으로 대금을 받을 때, 이 거래들은 블록체인에 기록됩니다. 그러나 이 불법 자금을 받는 지갑들은 표시되기 시작하며, 사이버 범죄자들은 온라인 사기, 도난, 해킹 등으로 얻은 수익을 세탁하기 위해 여러 복잡한 방법을 사용하게 됩니다. 사이버 범죄 수익 세탁은 암호화폐와 법정화폐 간의 정교한 이체와 전환 과정을 포함합니다. 이러한 자금을 추적하는 것은 조사자들에게 큰 도전이 됩니다. 바스크 기술센터 비콤텍(Vicomtech)의 디지털 보안 책임자인 라울 오르두나(Raúl Orduna)는 이 활동이 밑바탕에 있지만 광범위하고 복잡한 글로벌 경제를 형성한다고 지적합니다. 사이버 공격 후 공격자에게 가장 중요한 문제는 바로 이른바 ‘취득한 돈에 어떻게 접근할 것인가’입니다. 체인얼라이시스(Chainalysis)의 2024년 암호화폐 범죄 보고서에 따르면, 2023년 불법 암호화폐 관련 자금 세탁 규모는 약 222억 달러에 달했습니다. 지난해 동안 불법 블록체인 주소, 즉 암호화폐 계좌에 송금된 총 금액은 409억 달러였으며, 이는 앞으로 513억 달러까지 늘어날 수 있습니다. 사이버 범죄자들은 이 방대한 불법 자금들을 정정한 돈으로 전환하려고 합니다. 델프트 공과대학교(Cybersecurity 교수인 조지 스마라그다키스(George Smaragdakis)는 공격자들이 보통 비트코인이나 기타 암호화폐로 자금을 받고, 이를 익명으로 이용하기 위해 거래소 또는 믹서(Mixer)와 같은 기구를 통해 접근하려고 한다고 설명합니다. 이 자금들은 여러 블록체인 주소를 넘나들며, 일부는 결국 실물 경제에 유입됩니다. 이 세탁 과정을 이해하려면 몇 가지 개념에 대한 명확한 설명이 필요합니다. 스마라그다키스와 오르두나는 유럽의 통합 프로젝트인 Horizon Project에 함께 참여하고 있는데, 이 프로젝트는 기업, 연구센터, 법 집행기관이 협력하여 EU의 사이버 위협 대응 능력을 강화하고, 범죄자들이 어떻게 이익을 얻는지 이해하는 데 초점을 맞추고 있습니다. 암호화폐에서는 지갑이 여러 블록체인 주소를 포함하여, 자금을 보내거나 받는 데 사용됩니다. 블록체인 거래는 익명성을 유지하지만 기록은 공개되어 있어, 분석가들은 소유자를 특정하지 않더라도 돈 세탁 패턴을 감지할 수 있다고 오르두나는 말합니다. 조사자들은 은행과 유사하지만 익명으로 운영되는 암호화폐 서비스들을 식별하는 데 집중합니다. 특히 이들은 이더리움 스마트 계약에 기반한 에스크로(보증) 시스템이나 거래의 익명성을 높이기 위해 자금의 출처와 암호화폐 종류 간 교환을 숨기는 믹서와 같은 시스템에 주의를 기울입니다.

오르두나는 믹서가 자금 출처를 추적하는 데 방해가 된다고 설명합니다. 스마라그다키스는 피해자가 종종 식별 가능하지만, 여러 번의 이체 후 흔적이 사라지고 만다고 덧붙입니다. 사이버 범죄자들은 많은 블록체인 주소를 생성하는 것이 은행 계좌보다 훨씬 쉬운 점을 이용해 추적을 혼란스럽게 만듭니다. 이전에는 범죄자들이 피해자의 결제 수단을 하나의 주소에 집중시켰으나 지금은 피해자별로 또는 여러 주소를 할당하는 방식으로, 여러 주소에 불법 자금을 분산시킴으로써 추적과 통제를 어렵게 만든다고 스마라그다키스는 설명합니다. 이러한 방법은 불법 자금을 작은 덩어리로 쪼개 많은 주소에 분산시켜 모니터링을 어렵게 합니다. 다음으로 범죄자들은 이러한 자금을 다른 자금과 섞거나 암호화폐를 받는 카지노를 이용하기도 합니다. 작은 배팅을 수차례 걸쳐 낮은 위험과 높은 수익을 얻는 방식으로 돈을 ‘세탁’하고, 이후 합법적 화폐로 인출하는 것이죠. 오르두나는 이것이 일종의 돈 세탁이라 설명합니다. 바이낸스(Binance)나 코인베이스(Coinbase)와 같은 거래소 역시 또 다른 세탁 수단이지만, 이들은 대개 엄격한 자금세탁방지 정책을 시행하며, 사용자 인증 및 신원 확인(셀카 포함)을 요구하기 때문에 범죄자들이 접근하기 어렵다고 합니다. 법 집행기관은 법원 명령을 통해 사용자 정보를 요청할 수 있어 불법 활동을 어느 정도 차단할 수 있습니다. 하지만 범죄자들은 등록되지 않은, 규제를 받지 않는 플랫폼으로 눈을 돌립니다. 오르두나는 이들 비공식 플랫폼이 비록 등록되어 있지 않더라도 거래 패턴이 정통 거래소와 유사하다고 경고합니다. 비콤텍 연구팀은 이러한 플랫폼을 식별하기 위해 블록체인 거래 패턴 분석에 힘쓰고 있습니다. 정상적인 거래소의 행동을 모델링하여, 조사자들은 블록체인 네트워크 전반에서 불법과 유사한 활동을 식별하기 위한 디지털 행위 모델을 개발합니다. 비콤텍 팀은 당국과 긴밀히 협력하며, 의심스러운 활동에 대한 요구 사항과 사례를 수집하여, 인공지능 탐지 모델을 생성하고 검증합니다. 검증이 완료되면, 이 모델들은 관련 당국이 수행하는 실제 수사에 도움을 줍니다. 많은 사이버보안 연구가 공격 이해와 방어 강화를 통해 침해 사고를 줄이는 데 초점을 맞춘다면, 또 다른 중요한 작업은 불법 자금 흐름을 추적하는 것입니다. 이 작업은 범죄자들이 이익을 얻는 것을 저지하는 데 매우 중요한 역할을 하며, 이렇게 함으로써 사이버 범죄의 경제적 유인을 줄여 범죄 활동을 억제할 수 있습니다.