거래 추적

마지막 업데이트: 2022년 3월 22일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
  1. 1. N. Satoshi. Bitcoin: A peer-to-peer electronic cash system, 2008.
  2. 2. Jae-Won Jeong, "A Study on the Systems, Technical Problems, and Solutions for Investigation of Crimes Abusing Bitcoin," Master's Thesis, Seoul National University, Feb. 2016.
  3. 3. Jin-eung Choi, "Status of Cyber Crime Information Distribution and Response Plan in the Dark Web," National Assembly Research Service, Issue and Point no. 1386, Nov. 2017.
  4. 4. Dorit Ron and Adi Shamir, "How did dread pirate roberts acquire and protect his bitcoin wealth?," Financial Cryptography and Data Security, Springer, vol. 8438, pp. 3-15, Oct. 2014.
  5. 5. M. Malte, B. Rainer, and B. Dominic, "An inquiry into money laundering tools in the bitcoin ecosystem," In eCrime Researchers Summit(eCRS), 2013, IEEE, pp. 1-14, Sep. 2013.
  6. 6. Micha Ober, Stefan Katzenbeisser, and Kay Hamacher, "Structure and anonymity of the bitcoin transaction graph," Future internet, vol. 5, no. 2, pp. 237-250, May. 2013. 상세보기
  7. 7. Fergal Reid and Martin Harrigan, "An analysis of anonymity in the bitcoin system," Security and privacy in social networks, Springer, pp. 197-223, Jul. 2012.
  8. 8. Dorit Ron and Adi Shamir, "Quantitative analysis of the full bitcoin transaction graph," Financial Cryptography and Data Security, Springer, vol. 7859, pp. 6-24, Apr. 2013.
  9. 9. S. QingChun and Y. JianPing, "Research on anonymization and deanonymization in the bitcoin system," arXiv preprint arXiv: 1510.07782, Oct. 2015.
  10. 10. Joseph Bonneau, Arvind Narayanan, Andrew Miller, Jeremy Clark, Joshua A Kroll, and Edward W Felten, "Mixcoin: Anonymity for bitcoin with accountable mixes," Financial Cryptography and Data Security, Springer, vol. 8437, pp. 486-504, Mar. 2014.
  11. 11. QingChun ShenTu and JianPing Yu, "A blind-mixing scheme for bitcoin based on an elliptic curve cryptography blind digital signature algorithm," arXiv preprint arXiv:1510.05833, Oct. 2015.
  12. 12. Luke Valenta and Brendan Rowan. "Blinded, accountable mixes for bitcoin," Financial Cryptography and Data Security. Springer, vol. 8976, pp. 112-126, Sep. 2015.
  13. 13. Yeong-Dae Song, "A Study on the Case Analysis of the Bitcoin-related Crime by Type and it's Countermeasures," Journal of Korean Public Police and Security Studies, 14(3), pp. 141-166, Nov. 2017.
  14. 14. https://www.chainalysis.com
  15. 15. TxMon's demo for Monitoring Block chain Mining Pool. https://youtu.be/0Cn4IVaQ6S8.

“북한 암호화폐 ‘장외 거래 브로커’ 추적 시급…암호화폐 세탁 핵심 역할”

암호화폐를 묘사한 광고판 그림. (자료사진)

미국 하버드대 벨퍼센터 산하 북한 사이버 워킹그룹 소속 레이첼 백 연구원은 8일 미 규제 당국이 북한이 탈취한 암호화폐의 자금 흐름을 제대로 파악하기 위해서는 북한과 거래하는 장외 거래 브로커(OTC)를 추적하는 것이 시급하다고 말했습니다.

[녹취: 레이첼 백 연구원] “… where the money goes afterwards. Over the counter brokers, those are the kind of money launderers who will move small amounts of cryptocurrency into wallets across the world, eventually going to North Korean wallets holders or agents who are working for North Korea and sometimes these are carried by hand converted into cash or it can be converted into other coins. Just to try to obscure the origin of the coins as much as possible.”

백 연구원은 이날 VOA와의 전화 통화에서 북한이 장외 거래 브로커를 통해 훔친 암호화폐를 세탁하고 있다며 이같이 말했습니다.

장외 거래 브로커는 거래소 등 시장이 아닌 곳에서 개인들 간의 암호화폐 거래를 중개하는 사람으로, 거래 기록이 남지 않기 때문에 추적이 어렵다고 전문가들은 지적합니다.

백 연구원은 장외 거래 브로커들이 북한이 탈취한 암호화폐를 작은 금액으로 쪼개 전 세계에 있는 암호화폐 계좌로 옮기는 역할을 하고 있다고 설명했습니다.

그 밖에 장외 거래 브로커들은 암호화폐를 현금화한 뒤 직접 운반하거나 다른 암호화폐로 바꾸는 역할도 하고 있는 것으로 보인다고 백 연구원은 말했습니다.

이런 일련의 과정을 통해 암호화폐 출처를 파악할 수 없도록 한다는 겁니다.

백 연구원은 장외 거래 브로커들이 암호화폐를 세탁하는 과정에서 핵심 역할을 하고 있다면서, 특히 브로커의 상당수가 중국에 기반을 두고 있는 것으로 파악된다고 말했습니다.

그러면서 장외 거래 브로커들에 대한 법 집행이 제대로 이뤄지지 않는 한 북한의 암호화폐 탈취 활동은 계속될 수밖에 없다고 지적했습니다.

[녹취: 백 연구원] “I think most definitely that this activity will continue. North Korea would be emboldened by this behavior. Even as regulation is introduced, it's very difficult to identify that the user is North Korean. And actually, that's very difficult for law enforcement to try to investigate the source of these.”

백 연구원은 북한의 암호화폐 탈취 활동이 점점 더 대담해지고 있다면서, 규제가 있지만 당국이 북한 해커들을 추적하는 것은 매우 어렵다고 말했습니다.

미국 사이버보안기업 프루프포인트의 라이언 칼렘버 부사장은 VOA에 북한의 불법 행위를 돕는 장외 거래 브로커들의 활동이 활발한 배경에 대해 암호화폐가 일반인들보다는 범죄자들에게 더 유리한 구조로 만들어져 있기 때문이라고 지적했습니다.

칼렘버 부사장은 일반인들이 일상 생활에서 암호화폐를 사용할 수 있는 방법이 아직 많지 않고 투자 자산으로서만 인식되고 있다고 말했습니다.

아울러 암호화폐 자체가 정부의 규제를 피하고자 하는 자유의지론적(libertarian)인 성격을 지니고 있기 때문에 북한 정권과 연계된 사이버 범죄자들을 규제하는데 어려움이 있다고 칼렘버 부사장은 덧붙였습니다.

[녹취: 칼렘버 부사장] “What becomes problematic incentive is that cryptocurrency is incredibly useful for criminals, and it's less useful, other than maybe as an investment asset class for everyday people. And that challenging set of incentives helps a lot of crypto community who are again, generally libertarian anyway, away from the sort of regulation that would make a North Korean nation state-aligned cyber criminals life a lot harder.”

칼렘버 부사장은 미국과 국제 사회가 이런 허점을 극복하기 위한 규제를 만들어가고 있지만 암호화폐 시장의 발전 속도를 따라잡지 못하고 있다고 말했습니다.

앞서 하버드대 벨퍼센터의 북한 사이버 워킹그룹은 지난달 “북한의 암호화폐 운영: 대안적 수익원”이라는 제목의 보고서를 통해 암호화폐 채굴과 컴퓨터를 해킹한 후 암호화폐를 채굴하는 크립토재킹, 그리고 암호화폐공개(ICO) 사기 행위 등 북한이 암호화폐 영역에서 벌이는 불법 활동에 대해 분석했습니다.

워킹그룹은 이 보고서에서 특히 북한 정권이 암호화폐 채굴과 관련해 올해 새로 나온 이더리움 2.0 블록체인에 관심을 가질 가능성을 제기했습니다.

암호화폐 채굴은 블록체인으로 불리는 암호화폐의 디지털 원장에 거래 기록을 추가하고 보상을 받는 활동으로, 이 과정에서 대규모 컴퓨터 연산을 수행하기 위해 통상 막대한 전력이 소모됩니다.

하지만 이더리움 2.0은 기존의 암호화폐 하나를 채굴하는데 1천800 킬로와트 이상의 전력이 소모되는 것과는 달리 전력소비를 99.9% 줄이면서도 채굴이 가능하게 설계됐다는 겁니다.

보고서는 북한처럼 컴퓨터의 하드웨어 성능이 낮은 곳에서도 암호화폐 채굴이 가능해질 수 있다면서, 북한과 같은 자금난에 허덕이는 국가에는 새로운 이더리움 블록체인이 불법자금을 얻기에 이상적인 환경이 될 수 있다고 전망했습니다.

거래 추적

[Special Report] 암호화폐의 익명성과 불법 거래 트랜잭션 추적

    본문 폰트 크기 조정 본문 폰트 크기 작게 보기 본문 폰트 크기 크게 보기 가

개요

최근 발생하는 대부분의 사이버 사건/사고에서 암호화폐가 관련되지 않은 경우는 드물다. 이를테면 데이터를 암호화하여 데이터의 몸값을 암호화폐로 요구하는 랜섬웨어, 사용자 몰래 시스템에 설치되어 암호화폐를 채굴하는 크립토재킹, 암호화폐 거래소 해킹, 데이터를 탈취하여 데이터의 몸값을 암호화폐로 요구하는 협박까지 공격자는 암호화폐의 익명성을 악용하여 다양한 공격에 사용하고 있다.

이로 인해 공격자의 불법 수익 또한 증가하고 있다. 국내 랜섬웨어 침해대응센터에서는 랜섬웨어로 인한 피해액을 2018년 1조 2,000억 원, 2019년 1조 8,000억 원으로 추정했다. 또한 2019년 발생한 암호화폐 거래소 해킹사고 피해액은 국내 800억 원, 해외 1,100억 원으로 집계되었다. 한 암호화폐 분석가는 2007년부터 2018년까지 크립토재킹을 통한 공격자 수익이 5천만 달러(한화 약 600억)에 달한다는 결과를 내놓기도 했다.

이처럼 암호화폐 탈취를 위한 다양한 공격 방식 중 암호화폐 거래소를 직접 해킹하여 발생하는 피해 사례가 최근 증가하는 추세이다. 이에 암호화폐 거래소 해킹 사고의 동향을 살펴보고, 최근 발생한 국내 암호화폐 거래소 해킹 사고 사례를 통해 암호화폐의 불법 거래에 대한 트랜잭션을 추적해보고자 한다.

암호화폐 거래소 해킹 동향

[암호화페 거래소 해킹 건수(국내/외)]

최근 암호화폐 이용자 수가 증가하면서 암호화폐 거래소도 많이 등장하였다. 암호화폐 거래소 해킹 사고 역시 2014년부터 지속적으로 발생하여 전체적으로 매년 증가하는 추세를 보이고 있으며, 2019년에는 최고치를 경신했다. 이는 암호화폐 거래소 및 암호화폐의 현금 가치 증가로 거래 추적 인해 공격자들의 주요 표적이 된 것으로 분석된다.

[최근 주요 암호화폐 거래소 해킹 사고]

최근 발생한 주요 암호화폐 거래소 해킹사고를 살펴보면, 2018년 1월에 발생한 일본 코인체크 거래소 해킹사고(5,600억 원 상당의 암호화폐 탈취), 2월에 발생한 이탈리아 비트그레이 거래소 해킹사고(1,거래 추적 921억 원 상당의 암호화폐 탈취), 9월에 발생한 자이프 거래소 해킹사고(667억 원 상당 피해)가 있었다. 2019년에도 5월과 7월에 중국 바이낸스 거래소 해킹사고(480억 원 상당 피해)와 일본 비트포인트 거래소 해킹사고(380억 원 상당 피해)가 발생하였다. 가장 거래 추적 최근인 2019년 11월에는 국내 암호화폐 거래소 해킹사고로 580억 원 상당의 거래소 피해가 있었다.

다크 코인의 익명성

다크 코인이란, 다른 말로는 프라이버시 코인이라고 불린다. 두 단어는 암호화폐 업계에서 혼용되어 사용되는데 그 이유는 다크 코인이 불법, 마약, 도박, 탈세 등에 악용되기 때문이다. 처음 다크 코인이 개발되었을 때는 익명성을 위한 프라이버시 보호 측면이 강했다. 즉, 암호화폐의 소유자 및 전송받는 사람의 정보를 알 수 없도록 암호화하여 비밀을 보장하기 위한 기술이었다. 이는 블록체인이 탈중앙화를 표방하고 특정 정부로부터 감시받지 않는다는 자율성의 이념과 일맥상통한다. 또한 차세대 암호학(영지식 증명 등)의 발전을 앞당긴다는 측면에서 긍정적으로 볼 수 있다.

하지만 현재 각국에서 암호화폐 규제에 관심을 두기 시작하면서, 불법으로 사용될 여지가 높은 다크 코인으로 분류되는 암호화폐들을 문제 삼기 시작했고, 일본의 금융당국(FSA)에서는 최초로 거래 금지를 권고하여 점차 상장폐지가 되는 상황에 이르렀다. 대표적인 프라이버시 코인(다크 코인)의 종류는 아래와 같다.

소수의 마스터 노드를 구성해 거래 기록(트랜잭션)을 뒤섞어 익명성 보장

사용자의 계정키와 공개키를 결합하고 일회용 수신자 주소를 생성하는 등의 방법으로 익명성 보장,

가장 거래 추적 시총이 높은 다크 코인

암호학 기술인 영지식 증명을 통해 익명성 보장

딥 웹에서 토르 기술을 이용해 익명성 보장

이 외에도 바이트 코인, 스타크웨어, 머큐리, 그린코인 등의 다크 코인이 존재한다.

국내 거래소 한 거래소에서도 9월경 최초로 다크 코인으로 분류된 암호화폐들의 유의 지정 종목과 함께 상장 폐지 예정 공지를 올린 바 있다. 해당 거래소는 국제자금세탁방지기구(FATF)의 합의를 따르기 위함이라고 설명했다. 6월에 발표된 FATF 국제기준에는 가상 자산(암호화폐) 취급 업소가 가상 자산의 송금인과 수취인 정보를 수집 보유해야 한다는 의무를 포함시켰다. 이는 업계 담당자들 및 주요 인사들이 국제 기준을 적극 따를 것이라고 합의 한 것에 대한 후속 조치라고 할 수 있다.

위 거래소 외에도 외국계 암호화폐 거래소인 OKex 역시 다크 코인 상장폐지를 예고했으며, 국내 타 거래소들도 당장 상장 폐지를 하지는 않겠지만, 추후 FATF 권고안을 따를 것으로 예고하면서 현재 관련 코인들의 거래량이 급감한 상태이다.

다크 코인과 암호화폐 거래 추적

다크 코인의 거래 자체가 문제가 되는 이유는 바로 추적 불가성에 기인한다. 앞서 이야기했듯 다크 코인은 프라이버시 보호를 위해 각종 기술과 암호학으로 무장해 거래 내역 및 송수신 기록을 숨긴다. 이렇다 보니 마약, 탈세 등 기존 범죄와의 연관성은 제쳐두고라도 당장 해킹 자금 추적이 불가능하다. 비트코인과 이더리움 등 시가총액이 높고 거래량이 많은 암호화폐를 탈취한 공격자가 이를 다크 코인으로 스왑(BTC 페어 거래 USD 판매 후 다크 코인 매수)하고 해당 코인을 자신의 지갑으로 전송하면 공격자를 추적할 수단이 영영 없어지는 것이다. 몇 년 전까지만 하더라도 뜬금없이 다크 코인들이 동시에 2배, 3배씩 급등하고 내려앉는 경우가 흔했는데 이는 범죄자금 세탁일 가능성이 매우 높다.

일반 암호화폐의 경우도 송수신자의 익명성은 보장된다. 다만 거래 기록이 투명하고 전부 드러나 있기 때문에 최종 목적지는 반드시 노출된다. 다크 코인을 활용할 생각이 없는 몇몇 공격자들은 일반 코인 지갑을 수백 개 만들어 탈취한 코인을 분산 전송하는 방식으로 추적을 어렵게 해왔다. 실제로 불법 자금을 추적하던 경찰들이 너무 많이 분산된 코인 지갑 때문에 추적을 포기한 사례도 존재한다. 이런 문제가 대두되자 암호화폐의 트랜잭션 추적 기술을 연구하는 보안 업체도 발전하기 시작했다.

[웁살라 시큐리티와 센티넬 프로토콜]

암호화폐의 트랜잭션 추적 기술을 연구하는 가장 대표적인 보안업체로 웁살라 시큐리티(Uppsala Security)가 있다. 웁살라 시큐리티의 보안 플랫폼인 센티넬 프로토콜은 기업 및 조직, 보안 전문가, 커뮤니티 등에서 집단 지성을 통해 위협 데이터를 수집하고 해킹에 선제적으로 대응하는 보안 솔루션이다. 이런 블록체인 기반 보안 시스템은 수백 개로 쪼개진 해킹 자금의 트랜잭션을 전부 추적 가능하다. 현재 국내 거래소의 해킹 자금 역시 공식적으로 실시간 추적해 공지하고 있다. 그러나 암호화폐의 특성상 OTC(온라인 상에서 암호화폐 개인간 1:1 거래) 거래의 당사자를 확인할 수는 없다 보니 텔레그램 등에서 판매되는 내역까지 추적하는 것은 불가능하다.

암호화폐 거래소 해킹 피해 사례 - 국내

2019년 11월 27일 13시 06분 41초경, 국내 한 거래소의 지갑에서 알 수 없는 지갑으로 342,000개(한화 약 580억 원)의 이더리움이 비정상 출금되는 사고가 발생했다. 이에 거래소 측은 즉시 모든 암호화폐 입출금을 일시 중단하고, 17시 56분경 이더리움 비정상 출금 사고에 대하여 공지하는 한편 다른 암호화폐 거래소 담당자들에게 비정상 출금이 발생한 이더리움 주소로부터의 입금을 막아 달라고 협조를 부탁했다.

0x5e032243d507c743b061ef021e2ec7fcc6d3ab89( 피해 지갑 주소 )

0xa09871aeadf4994ca12f5c0b6056bbd1d343c029( 알 수 없는 지갑 주소 )

공격자는 알 수 없는 지갑의 이더리움 342,300개를 수많은 지갑으로 분산 시켜 추적을 어렵게 하였고, 그중 일부는 이미 10여 개의 암호화폐 거래소에 입금한 것으로 확인됐다. 현재 한국인터넷진흥원(KISA)이 침해사고분석단을 파견하여 원인을 분석하고 있지만, 유출 경로를 특정하기까지는 오랜 기간이 걸릴 것으로 판단된다.

해킹 시나리오

아직 조사 결과가 발표되지 않았기 때문에 해킹 원인을 단정 지을 수 없지만 가능성 높은 시나리오는 존재한다. 블록체인 특성상 한번 발생한 트랜잭션의 취소는 불가능하지만 덮어씌우는 것은 가능하다. 기존에 발생한 트랜잭션과 같은 Nonce의 트랜잭션을 생성하고 더 높은 비용을 지불하면 해당 트랜잭션이 선택된다. 이는 이중지불 공격을 해결하기 위한 방법이지만, 공격자가 지갑에 JSON-RPC 콜을 보낼 수 있는 서버 어딘가에 침투했다면 충분히 가능한 시나리오라고 볼 수 있다.

일례로 2018년에 발생했던 Geth 클라이언트 해킹이 있다. 공격자에게 220억가량의 이더리움이 탈취된 적이 있었는데, 이는 JSON-RPC 인터페이스를 쉽게 사용할 수 있도록 도와주는 Geth 애플리케이션의 8545포트가 외부에 오픈되면서 원격 명령 수행이 가능했던 케이스였다.

[JSON-RPC를 이용한 해킹 예시]

위 경우는 특정 애플리케이션의 취약점으로 발생한 것이지만, 여기서의 핵심은 이더리움의 JSON-RPC 콜에 대한 위험성이 오래전부터 존재해 왔고, 개발진이 주의하라고 당부했던 내용이라는 점이다. 공격자가 내부에서 JSON-RPC 명령 수행이 가능한 PC에 접근 가능하다면, 지갑이 존재하는 서버에 직접 접근하지 않고도 해킹이 가능하다는 이야기이다. 다른 암호화폐들은 그대로인데 이더리움만 해킹된 것을 봐도 어느 정도 의심이 가는 상황이다. 따라서 JSON 관련 로그들을 조사한다면 흔적이 남았을 가능성이 있다.

트랜잭션 흔적

[해킹된 이더리움 트랜잭션(Etherscan)]

해킹 당시의 이더리움 트랜잭션에는 특이한 점이 많이 존재한다. 이더리움 전송 시 Gas의 한계인 Gas Limit을 200,000으로 임의 설정한 점, 핫 월렛 내부에 존재하는 이더리움의 개수가 더 있었음에도 342,000개만 가져간 점 등을 미루어 보아, 공격자는 지갑에 직접 접근할 수 있는 상태가 아닌 상황에서 특정 스크립트 등을 작성해 공격을 성공시켰을 가능성이 높다. 또한 자신의 트랜잭션이 우선순위로 신속하게 처리되도록 1,000 Gwei라는 다소 높은 비용의 Gas Price를 지불한 것도 공격자의 의도가 담겨있다고 할 수 있다. 이더리움 네트워크에서 처리되는 트랜잭션은 Nonce와 Gas Price로 순서를 정한 후 Gas Limit * Gas Price만큼의 비용 지불 후 남은 것을 돌려주는 형식이기 때문이다.

탈취 자금 흐름 현황

이더리움 트랜잭션을 추적하기 위해 이더리움 거래 장부를 직접 검색할 수 있다. 이더스캔(etherscan.io), 이더플로러(ethplorer.io), 블록체인 닷컴(blockchain.com) 등과 같은 사이트의 이더리움 익스플로러에서도 관련 자료를 제공하고 있다.

그중 이더스캔에서는 피해 거래소 지갑에서 이더리움 342,000개를 탈취한 지갑 주소 및 연관된 지갑 주소 약 700여 개에 대하여 *** Hacker라는 Label을 붙이고 추적에 도움을 주고 있다.

[탈취 이더리움 잔액 Top10]

이더스캔을 통하여 *** Hacker로 Label 된 지갑 주소의 잔액을 확인해본 결과 342,000개의 이더리움 중 약 248,000개의 이더리움이 100여 개의 지갑 주소에 존재하는 것을 확인할 수 있었다. 약 94,000개(한화 약 138억)의 이더리움이 알 수 없는 지갑 수만 개로 분산되었으며, 그중 일부 거래소로 전송된 것을 확인하였다.

[거래소별 전송된 이더리움 개수]

현재 확인된 거래소별 전송된 이더리움 총 개수는 약 47,000개(한화 약 70억)이며 더 늘어날 것으로 보인다. 그중 트랜잭션이 적은 Switchain 거래소와, 트랜잭션이 가장 많은 Binance 거래소로 전송된 트랜잭션에 대하여 추적해보고자 한다.

탈취 자금 흐름 현황 - Switchain

[Switchain 거래소로 전송된 이더리움 트랜잭션(1)]

위 그림에서 알 수 있듯이 최초로 342,000개의 이더리움을 탈취한 *** Hacker 1 지갑으로부터 지속적으로 다른 지갑으로 이더리움을 분산시키고 있다.

[Switchain 거래소로 전송된 이더리움 트랜잭션(2)]

최종적으로는 *** Hacker 6.3, *** Hacker 9.2 지갑에서 Switchain 거래소로 약 10개(한화 약 150만 원)의 이더리움이 전송되었다. 이를 통해 약 10개의 이더리움이 Switchain 거래소를 통하여 다른 코인으로 바뀌어 더 이상의 추적은 어려웠다.

탈취 자금 흐름 현황 - Binance

[Binance 거래소로 전송된 이더리움 트랜잭션 일부]

Binance의 경우 추적이 훨씬 까다롭다. 위 그림은 Binance 거래소로 전송된 이더리움 트랜잭션 중 일부를 나타낸 그래프로 공격자는 추적을 어렵게 하기 위해 *** Hacker 지갑으로부터 복잡한 단계를 거쳐 Binance 거래소로 전송하였음을 알 수 있다. 특이한 점은 Switchain과 동일하게 암호화폐 간의 거래를 지원하는 60cek 거래소에 전송된 이더리움을 그대로 이더리움으로 교환하여 Binance 거래소에 전송했다는 점이다. 최종적으로는 *** Hacker와 연관된 알 수 없는 다수의 지갑 약 45개에서 약 17,721개(한화 약 26억)의 이더리움이 전송되었다.

Switchain 거래소에 이더리움을 전송한 지갑은 이더스캔에 의해 Label 된 *** Hacker 계정으로 트랜잭션을 추적하기 쉬웠지만, Binance 거래소에 이더리움을 전송한 지갑은 알 수 없는 지갑을 통해 여러 단계를 거쳐 전송된 탓에 추적이 쉽지 않았다. 하지만 트랜잭션 분석을 통하여 거래소에 전송된 트랜잭션을 특정할 수는 있었다.

결론

금번에 탈취된 이더리움에 대해 일부 거래소는 공격자가 전송한 것이 확인되면 해당 지갑을 동결시키겠다고 약속했다. 그러나 실제로 동결이 이루어지고 있는지 알 수 없고, 해당 사건에 관심이 없는 거래소들도 많아서 쉽지 않은 것이 현실이다. 게다가 공격자가 코인 스왑 및 OTC 거래를 적극 활용한다면 사실상 추적은 불가능하다고 볼 수 있다.

이렇듯 최근 발생한 일련의 해킹 사건들로 인해 ISMS나 ISO 인증을 받는다고 해도 안전하지 않다는 인식이 팽배하다. 실제로 업계 전문가들은 보안 인증 자체는 기업이 가져야 할 최소한의 보안 절차라는 점을 강조한다. 즉, 공격자가 마음만 먹으면 APT 공격을 통해 추가 보안 대책이 없는 기업에 침투해 정보 혹은 금전 탈취가 가능하다는 뜻이다. 최근 들어 자주 타깃이 되는 암호화폐 거래소들은 지속적으로 보안 대책을 강구해야 할 것이다. 또한 최근 공격 트렌드가 EP(End Point)를 정조준하고 있고, 대량의 해킹 메일이나 특정인을 타깃으로 하는 스피어피싱 등도 빈번히 발생하고 있다. 따라서 전사 직원들에 대한 보안 인식 교육과 권한을 재검토하고, EP 침투를 억제할 수 있는 솔루션 도입을 고려하는 것이 현명하다.

암호화폐 거래소의 보안과 관련된 법안으로 2019년 11월 21일 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법) 개정안이 의결됐다. 이를 요약하면, 암호화폐를 법률적 자산으로 인정하고 그에 따른 이용자 보호 및 불법 자금을 차단하겠다는 내용이다. 해당 법안이 시행되면 암호화폐 거래소들은 기존 금융기관들과 거래가 가능해진다. 다만, 위에서 상술했듯 제도권 금융으로 들어오려면 보안 인증을 넘어서 고객의 자산을 보호할 수 있는 고도의 보안 체계를 갖춰야 할 것으로 보인다.

특금법의 또 다른 내용은 불법 자금 차단이다. 지금까지 암호화폐는 블록체인이라는 신기술 도입을 앞당기고 화폐 가치가 낮은 국가에 도움을 주거나 낮은 국제 송금 수수료 등 순기능도 많았지만, 자금 세탁 및 테러 자금 조달 거래 추적 등 부작용 역시 초래했다. 특금법 개정안의 입법 취지가 자금세탁방지기구(FATF)의 권고에 따른 것이므로 앞으로 암호화폐 거래소들은 이용자의 신원을 명확히 하고 다크 코인을 취급하지 않음으로써 제도권 진입에 한발 다가갈 수 있을 것이다.

인공지능, 사물 인터넷 등과 함께 4차 산업혁명 시대의 문을 연 암호화폐가 앞으로 어떻게 발전하고 미래를 변화시킬지는 미지수이다. 하지만 잔잔한 호수에 던져진 돌처럼 그 파급력은 매우 컸으며 디지털 화폐와 블록체인의 발전으로 정보혁명을 앞당긴 것은 명확한 사실이다. 앞으로도 여러 잡음을 해결해 나가며 신기술로서의 긍정적 발전을 기대해본다.

ScienceON Chatbot

A Study of Bitcoin Transaction Tracking Method through Illegal Community

비트코인으로 불법거래를 할 경우 해당 거래에 사용된 모든 비트코인을 추적하여 압수하기는 쉽지 않다. 특히, 범죄자가 여러 비트코인 주소에 분산하여 불법거래를 한다면, 일부 비트코인을 압수하더라도 압수한 비트코인 이외에 추적되지 않고 감춰진 비트코인을 파악하기가 어렵다. 본 논문은 불법거래로 의심되는 비트코인 거래를 추적하고 모니터링하는 방법을 제안한다. 이 방법을 통해 범죄혐의가 있는 비트코인 주소 리스트를 기반으로 해당 주소와 거래한 모든 비트코인 주소 중에서 범죄와 관련성이 높은 비트코인 주소를 추정하고, 이 주소와 관련된 거래를 지속적으로 추적하여 불법 비트코인 거래 수사에 도움을 준다.

Abstract

When illegal transactions are made with bitcoin, it's not easy to track all the bitcoins used in the transaction and seize them. Especially, if criminals distribute illegal transactions by spreading them to several bitcoin addresses, it's difficult to track hidden bitcoins other than confiscated bitcoins even if some bitcoins are confiscated. This paper proposes a method for tracking and monitoring all bitcoin transactions suspected of illegal transactions. This method estimates bitcoin addresses that are highly relevant to crime among all bitcoin addresses that dealing with the address based on the bitcoin address list of the alleged crime, and keeps track of addresses that are relevant to crime and help to investigate illegal bitcoin transaction.

우리는 이 논문에서 불법거래로 의심되는 비트코인 거래를 추적하고 모니터링하는 도구(TxMon)를 제안하였다. TxMon은 불법거래로 의심되는 비트코인 주소리스트를 기반으로 이들 주소의 거래 내역을 분석한다. 분석을 통해 불법거래와 연관성이 높은 비트코인 주소를 예측하여 추가적으로 확보하고, 이를 불법거래로 의심되는 비트코인 주소와 함께 Unnamed List1)로 관리한다.

비트코인으로 불법거래를 할 경우에 해당 거래에 사용된 모든 비트코인을 추적하여 압수하기는 쉽지 않다. 비트코인은 P2P 분산시스템으로 특정 운영 주체가 있는 것이 아니고, 비트코인 주소를 개인정보와 연관시킬 정보도 없거나 거래 추적 부족하기 때문이다. 따라서 Silk Road와 같이 불법거래를 수행하는 시스템을 찾아내고, 해당 시스템에 대한 디지털 포렌식을 수행하여 비트코인 정보를 추적하여야 한다.

특히 초기 비트코인 투자자들이 큰 돈을 벌었다는 언론의 보도 이후에 투자대상으로서의 비트코인에 대한 사람들의 관심은 아직 유효하다. 한편, 비트코인을 이용한 범죄도 꾸준히 증가하였는데, 이는 비트코인이 여타의 결제수단과 달리 추적이 어렵다는 익명성을 가지고 있기 때문이다. 즉, 비트코인은 중앙통제기관의 개입 없이 개인간 거래가 가능하고 비트코인 거래에 사용되는 주소가 개인정보와 어떠한 연관관계도 없기 때문에 익명성을 가진다.

저자의 다른 논문

참고문헌 (15)

crossref

  1. 1. N. Satoshi. Bitcoin: A peer-to-peer electronic cash system, 2008.
  2. 2. Jae-Won Jeong, "A Study on the Systems, Technical Problems, and Solutions for Investigation of Crimes Abusing Bitcoin," Master's Thesis, Seoul National University, Feb. 2016.
  3. 3. Jin-eung Choi, "Status of Cyber Crime Information Distribution and Response Plan in the Dark Web," National Assembly Research Service, Issue and Point no. 1386, Nov. 2017.
  4. 4. Dorit Ron and Adi Shamir, "How did dread pirate roberts acquire and protect his bitcoin wealth?," Financial Cryptography and Data Security, Springer, vol. 8438, pp. 3-15, Oct. 2014.
  5. 5. M. Malte, B. Rainer, and B. Dominic, "An inquiry into money laundering tools in the bitcoin ecosystem," In eCrime Researchers Summit(eCRS), 2013, IEEE, pp. 1-14, Sep. 2013.
  6. 6. Micha Ober, Stefan Katzenbeisser, and Kay Hamacher, "Structure and anonymity of the bitcoin transaction graph," Future internet, vol. 5, no. 2, pp. 237-250, May. 2013. 상세보기
  7. 7. Fergal Reid and Martin Harrigan, "An analysis of anonymity in the bitcoin system," Security and privacy in social networks, Springer, pp. 197-223, Jul. 2012.
  8. 8. Dorit Ron and Adi Shamir, "Quantitative analysis of the full bitcoin transaction graph," Financial Cryptography and Data Security, Springer, vol. 7859, pp. 6-24, Apr. 2013.
  9. 9. S. QingChun and Y. JianPing, "Research on anonymization and deanonymization in the bitcoin system," arXiv preprint arXiv: 1510.07782, Oct. 2015.
  10. 10. Joseph Bonneau, Arvind Narayanan, Andrew Miller, Jeremy Clark, Joshua A Kroll, and Edward W Felten, "Mixcoin: Anonymity for bitcoin with accountable mixes," Financial Cryptography and Data Security, Springer, vol. 8437, pp. 486-504, Mar. 2014.
  11. 11. QingChun ShenTu and JianPing Yu, "A blind-mixing scheme for bitcoin based on an elliptic curve cryptography blind digital signature algorithm," arXiv preprint arXiv:1510.05833, Oct. 2015.
  12. 12. Luke Valenta and Brendan Rowan. "Blinded, accountable mixes for bitcoin," Financial Cryptography and Data Security. Springer, vol. 8976, pp. 112-126, Sep. 2015.
  13. 13. Yeong-Dae Song, "A Study on the Case Analysis of the Bitcoin-related Crime by Type and it's Countermeasures," Journal of Korean Public Police and Security Studies, 14(3), pp. 141-166, Nov. 2017.
  14. 14. https://www.chainalysis.com
  15. 15. TxMon's demo for Monitoring Block chain Mining Pool. https://youtu.be/0Cn4IVaQ6S8.

이 논문을 인용한 문헌

궁금한 사항이나 기타 의견이 있으시면 남겨주세요.

  • ScienceON : 원문보기
  • KCI : KCI 원문보기
  • DOI : 10.13089/JKIISC.2018.28.3.717 [무료]
  • 한국정보보호학회 : 저널
  • Korea Open Access Journals : 저널
  • DBPia : 저널

원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다. (원문복사서비스 안내 바로 가기)

'루나 코인' 부정거래 추적 툴, 사법기관에 무료 제공된다

/사진=웁살라시큐리티 공식 미디엄

/사진=웁살라시큐리티 공식 미디엄

블록체인 보안업체 웁살라시큐리티가 가상자산 '루나 클래식'(LUNC) 추적 솔루션을 전 세계 사법·규제기관에 무료 제공한다고 10일 밝혔다. 루나 클래식은 테라의 새 블록체인 기반의 '루나2.0'(LUNA)이 아닌, 지난 5월 초 폭락했던 기존 루나 코인을 말한다.

웁살라시큐리티는 이날 공식 미디엄 홈페이지를 통해 자사 가상자산 추적 솔루션 'CATV'(Crypto Analysis Transaction Visualization)에 루나 클래식을 새로 추가했다고 말했다.

CATV는 가상자산 거래 추적용으로 만들어진 자금세탁방지(AML) 조사·분석 툴이다. 가산자산 지갑의 거래 흐름이나 패턴을 실시간으로 추적·모니터링해 문제의 소지가 있는 자금이 언제, 어떤 거래소로 이동했는지 확인하는 데 쓰인다. 현재 CATV는 △비트코인(BTC) △이더리움(ETH) △라이트코인(LTC) △바이낸스(BNB) △카르다노(ADA) 등 12개 가상자산 추적을 지원 중이며, 루나 클래식이 새롭게 추가되면서 총 13개 가상자산을 지원하게 됐다.

웁살라시큐리티는 테라-루나 사태 자금 흐름 관련 지난 6월 자체 조사를 실시, 2편의 공식 보고서를 발간한 바 있다. 웁살라시큐리티는 "사법기관이 추가 수사를 진행하려면 더 빠르고 효과적인 가상자산 추적툴이 필요하다고 판단했다"며 배경을 설명했다.

이어 "기존 수사 방식은 '테라 파인더' 등 블록체인 탐색기를 통해 루나 클래식 거래 내역을 수동으로 확인해야 하기 때문에 시간과 인력이 많이 필요할 수 있다"며 "반면, CATV는 지갑 주소만 툴에 입력하면 전체 자금 흐름을 시각화해 자금 흐름을 한눈에 파악할 수 있다"고 말했다. 루나 관련 블랙리스트 지갑이나 거래소 지갑 등 관련 정보도 툴 내에서 확인할 수 있어, 의심되는 거래와의 연관성 분석 지원 기능도 강화될 것으로 보인다.

구민우 웁살라시큐리티 한국 대표는 "우리 솔루션의 강점은 시장 상황과 고객 요청에 신속하게 대응한다는 것"이라며 "CATV가 테라-루나 사태 관련 수사 진행에 도움이 되길 바란다"고 밝혔다.


0 개 댓글

답장을 남겨주세요