#국내 가상자산 거래소 지갑 주소에 수상한 거래내역이 포착됐다. 단기간에 비슷한 양의 코인이 여러 번 입금되고 출금되는 패턴이 확인된 것이다. 코인들은 중국과 홍콩 등 해외 가상자산 거래소에서 입금됐다. 수사기관에서 지갑 주소를 특정해 추적해보니, 피의자들이 외국에서 들여온 코인을 국내 거래소에서 비싸게 매각해 시세차익을 보고 있었다. 외국보다 국내 거래소에서 비싸게 거래되는 '김치 프리미엄'을 악용한 것이다.
#코인 개발업체가 ‘탈중앙화 가상자산 거래소(DEX)’를 이용해 투자자를 모집했다. 이 업체는 비트코인으로 투자를 받아 자사가 발행한 가치 없는 코인으로 교환하도록 했다. 이른바 ‘코인 스와프(Coin Swap)’ 행위를 한 것이다. 업체 대표는 피해자들을 속이려고 자전 거래로 거래량이 많은 것처럼 속였고 시세조작도 서슴지 않았다. 이 업체는 조세피난처에 페이퍼컴퍼니로 등록돼 있거나 공유 오피스를 소재지로 표기해뒀다.
검찰과 국가정보원이 최근 수사한 코인 사기의 대표적 사례다. 수사기관은 '해외 송금'과 '지갑 이동', '믹싱(자금세탁)'을 코인 사기 사건의 '3대 키워드'로 꼽았다. 해외에서 코인이 채굴된다거나, 코인 발행업체 소재지가 외국에 있다는 점을 내세워 돈을 해외로 송금시키고, 코인을 여러 지갑으로 보내 자금 추적을 피한다는 것이다.
한국일보는 대검찰청 사이버수사과 임아란 가상자산 전문 수사관에게 코인 사기 수사 과정에 대해 들어봤다. 국정원은 추적 방법을 공개하는 대신 그간 검거했던 사례들을 본보에 제공했다.
수사기관에서 가장 먼저 하는 일은 ‘진정성 분석’이다. 발행업체가 공개한 코인 프로젝트가 사기인지 아닌지 식별하는 과정이다. 발행업체의 백서(white paper·프로젝트 청사진)와 소스 코드(프로그램을 사람이 읽을 수 있는 프로그래밍 언어로 나타낸 글)를 분석해 사업계획대로 프로젝트가 운영되고 있는지 확인하는 작업이다. 이 과정에서 ‘역공학 분석’ 수사기법도 동원된다. 역공학 분석은 이미 만들어진 시스템과 프로그램을 역으로 해체하는 기법이다. 수사기관에선 소스코드를 추출해 해당 시스템이 어떻게 만들어졌는지 일일이 확인한다.
코인의 경우 전자지갑, 홈페이지, 플랫폼 등을 디컴파일러(소스코드로 되돌리는 역공학 분석 프로그램)를 이용해 해체한다. 이후 블록체인 관련 기술이 있는지 확인한다. 임아란 수사관은 “직접 개설한 거래소에서 코인 3개를 발행한 뒤 상장해 투자금을 편취한 사건이 있었다”며 “역공학 분석을 했는데 백서에 기재된 앱에 블록체인 기술은 없었고, 거래내역은 단 4건뿐이었다”고 말했다.
진정성 분석이 끝나면 코인과 돈을 추적해야 한다. 코인을 이용한 자금 흐름을 추적하기 위해선 ‘전자지갑’을 찾아야 한다. 코인 거래에 사용되는 지갑은 은행 계좌와 비슷하지만, 실명이나 개인정보가 필요 없다. 코인을 보낸 사람과 받는 사람이 누군지 알 수 없는 것이다. 수사기관에선 추적 도구 프로그램 등을 이용해 지갑 주소와 코인 흐름을 추적한다. 이 과정에서 금융정보분석원(FIU)과 가상자산 거래소, 국정원 등 유관기관과 협조하는 경우가 많다.
임 수사관은 “범죄 피해금이 피의자의 지갑 주소로 도달한 게 확인되면 해당 주소에서 어디로 흘러갔는지 다시 확인해야 한다”며 “지갑 주소에서 거래소로 들어갔다면, 해당 거래소에서 현금화하는 경우가 많아 추적하는 데 많은 노력이 필요하다”고 말했다. 대검 사이버수사과에서 추적한 국내 전자지갑은 △2020년 1만1,538개에서 △2022년 5만8,559개로 5배 증가했다. 임 수사관은 “길게는 몇 달 동안 여러 수사관들이 함께 지갑주소와 자금 흐름을 추적할 때도 있다”고 덧붙였다.
지갑을 추적하다 연루된 피의자의 다른 범죄를 발견하는 경우도 있다. 임 수사관은 “조건만남을 명목으로 현금을 편취한 피의자의 지갑을 추적하다 보니, 중국으로 범죄수익을 보낸 피싱조직이 뒤에 있었다”며 “편취한 현금이 코인으로 바뀌어 여러 거래소를 거쳐 최종적으로 홍콩 소재 거래소로 모였고 다시 국내 거래소로 일부 유입된 점을 포착했다”고 말했다.
코인 사기꾼들의 자금세탁 행위는 믹싱으로 불린다. ‘코인 믹싱(Coin mixing·코인 쪼개기)’은 거래내역을 뒤섞어 전송내역을 알 수 없도록 하는 것이다. 코인을 여러 개의 지갑으로 흩뿌렸다가 합치는 ‘믹싱 앤드 텀블러’ 기법도 있다. 모두 수사기관 추적을 피하기 위한 방법들이다.
예컨대 A씨가 B씨에게 비트코인 10개를 보내면, 블록체인상에는 A씨 지갑에서 B씨 지갑으로 이동한 경로가 남는다. 코인 믹서(Coin mixer) 프로그램은 10명에게서 각각 다른 액수의 코인을 받아 섞어버린 뒤 재분배해 10명에게 다시 송금한다. 이렇게 하면 누가 전송했는지 파악하는 게 쉽지 않다. 즉, A씨와 B씨가 서로 코인을 주고받았다는 증거를 없애주는 것이다.
임 수사관은 “여러 개의 지갑을 만들어 반복적으로 쪼개 범죄수익을 나눠 보내는 경우가 가장 많다”며 “수사기법이라 자세히 밝힐 순 없지만, 지갑을 쪼개 전송하거나 믹싱을 통해 섞인 코인도 추적이 가능하다. 한번 지갑 주소를 특정하면, 끝까지 추적해 검거하고 있다”고 강조했다.
'무법지대 코인 리포트' 인터랙티브 기사로 한눈에 확인하실 수 있습니다.
https://interactive.hankookilbo.com/v/delisted_coins/
◆무법지대 코인리포트
<1>'사라진 코인' 심층 보고서
<2>코인 대통령과 180개 사기극
<3>대마불사 거래소의 이면
<4>코인 생태계 리부팅해야