2018년 중순 국내 한 암호화폐 거래소가 보관 중이던 비트코인·이더리움 등 500억원 상당의 암호화폐가 탈취됐다. 거래소를 해킹한 범죄자들이 사용한 기법은 ‘믹싱 앤 텀블러’였다.
이 기법은 암호화폐 추적을 회피하기 위해 범죄자들이 사용하는 대표적인 기술이다. 암호화폐를 보관할 수 있는 ‘지갑’을 많게는 수천 개까지 만든 뒤에 암호화폐를 여러 개로 쪼개서 분산하거나 지갑들끼리 의미 없는 거래를 반복해서 추적을 피하는 식이다. 여러 개의 컵을 돌려가면서 주사위를 숨기는 ‘야바위’를 떠올리면 이해하기 쉽다. ‘믹싱’을 해주는 전문적인 불법 사이트까지 있을 정도다.
불과 몇 년 전까지만 해도 ‘믹싱 앤 텀블러’ 기법으로 탈취된 암호화폐는 되찾는 게 불가능하다고 여겨졌다. 그런데 올해 5월 경찰은 3년의 수사 끝에 탈취당한 500억원 상당의 암호화폐 중 일부를 중남미에서 찾아내는 데 성공했다. 경찰이 환수한 암호화폐는 1360이더리움으로 45억원 규모였다. 탈취당한 암호화폐 중 일부였지만 불가능하다고 여겨졌던 환수 작전에 성공한 것이다.
‘암호화폐 환수작전’의 일등공신은 가상자산 추적 프로그램인 ‘체인널리시스 리액터(Chainalysis Reactor)’였다. 암호화폐 추적 수사의 핵심은 지갑 소유자가 누구인지를 파악하는 것이다. 탈취된 암호화폐가 특정 거래소가 소유한 지갑에 들어있다는 점이 확인되면 경찰은 영장을 발부 받아 거래소 가입자 정보, 접속기록, 거래 내역 등을 파악해 암호화폐를 환수할 수 있다.
여기서 문제는 지갑의 소유자를 확인하는 것이다. ‘믹싱 앤 텀블러’를 거친 암호화폐는 소유자를 확인하는 게 사실상 불가능하다고 여겨졌는데, 이걸 깨뜨린 게 ‘체인널리시스 리액터’다.
리액터는 체인널리시스라는 회사가 만든 암호화폐 추적 시스템이다. 리액터에 해커의 암호화폐와 관련된 정보를 넣기만 하면 해당 암호화폐가 어디에서 어디로 이동하는지 시각화된 자료로 확인할 수 있다. 국내외 거래소의 모든 정보를 확인할 수 있기 때문에 해커가 탈취한 암호화폐가 어디에 있는지, 누구의 지갑에서 누구의 지갑으로 이동했는지도 확인이 가능하다.
경찰청 국가수사본부(국수본)는 해킹된 암호화폐를 리액터를 이용해 추적해 유럽 소재 거래소에 보관 중이던 이더리움 수백개에 대한 추가 환수를 눈앞에 두고 있다.
경찰청 관계자는 “예전에는 범죄에 활용된 암호화폐가 어느 거래소에 속한 지갑에 있는지 알 수 없었다”며 “지금은 지갑이 어느 거래소에 있는 지갑인지, 불법 믹싱 사이트가 거래하고 있는 지갑인지를 알 수 있다는 점에서 추적 프로그램이 의미가 있다”고 설명했다.
경찰은 2016년 리액터를 각종 수사에 활용하기 시작했다. 단순한 암호화폐 해킹뿐 아니라 마약 거래, 성착취물 범죄 등에 활용되는 암호화폐를 추적하는 데도 리액터가 이용된다. 사이버수사대, 마약범죄수사대, 여성청소년수사대 등 다양한 수사부서에서 리액터의 활용도가 늘어나고 있다.
경찰이 자체 개발한 다크웹 불법정보 추적시스템 ‘딘트(Dint)’도 리액터와 함께 가상공간의 어둠을 물리치는데 활약하고 있다. 딘트는 시간대별로 다크웹 상 각종 데이터를 자동으로 수집하는 시스템이다. 다크웹 상에서 범죄에 사용될 가능성이 있는 암호화폐 지갑 주소와 ID, IP 등 각종 정보를 자동으로 수집한다.
과거에는 수사 경찰이 직접 다크웹에 접속해 필요한 정보를 찾아야 했다. 하지만 이제는 딘트에 접속해서 키워드만 입력하면 그동안 수집된 데이터 가운데 수사에 필요한 정보를 바로 찾아서 확인할 수 있다. 추적이 불가능하다고 하는 다크웹에 GPS 추적기를 단 셈이다.
경찰 관계자는 “수집된 정보를 바탕으로 어떤 운영자가 사용하는 사이트라는 점도 알 수 있다”며 “시스템이 수집하는 모든 정보가 수사 단서로 활용될 수 있다”고 설명했다.