여성 성착취 동영상을 유포했던 '박사방' 운영자 조주빈(24)씨의 암호화폐 지갑 흐름을 쫓아갔더니 익히 알려진 쪼개고 합치며 출처를 숨기려는 범죄자금의 양상이 생생하게 재연됐다. 이를 위해 조씨는 전문적인 '믹싱앤텀블러' 서비스를 이용했으며, 비트코인으로만 최소 매달 600만원의 수입을 올렸을 것으로 추정된다.
코인데스크코리아는 조씨가 텔레그램방에서 직접 공지한 지갑주소 등 비트코인 지갑 9개를 확보해, 이 가운데 '박사방' 유료방 입금금액과 일치한 5개를 블록체인 보안기업 웁살라시큐리티와 함께 분석했다. 이들 지갑의 자금 흐름에서 독특한 것은 사용 기간이 횟수와 무관하게 2일 가량에 지나지 않았다는 점이다. 이틀이 지나면 지갑을 버리고 다른 지갑으로 갈아탔다. 게다가 그중 4개의 거래 내역을 거슬러올라가니 지갑 소유자가 같았다.
웁살라시큐리티는 조씨가 전문 믹싱 서비스를 이용하면서 이같은 현상이 나타난 것으로 판단했다. 범위를 넓혀 이들 5개의 지갑과 관련된 지갑을 웁살라시큐리티의 암호화폐 추적 솔루션 CATV를 통해 추적했더니, 각각의 주소는 모두 믹싱 서비스 기업이 제공한 주소들이었다.
"조씨가 암호화폐 추적을 피하고자, 개인 지갑이 아닌 믹싱 서비스 업체가 제공한 일회성 지갑을 성착취 동영상 구매자에게 전달한 정황을 발견했다. 믹싱 서비스 업체가 제공하는 지갑은 보통 하루에서 이틀 정도만 사용할 수 있도록 시간제한을 걸어둔다." - 패트릭 김(김형우), 웁살라시큐리티 대표
암호화폐 믹싱은 자금 출처를 노출시키지 않기 위해 쓰이는 수법이다. 지갑 주소를 짧은 기간 동안 쓰면서 나중에라도 꼬리가 잡히지 않도록 중복해 쓰지 않고 폐기하는 것이 이상한 일은 아니다. 범죄 혐의를 받는 이들이 거처와 연락처를 수시로 바꾸며 동선을 숨기는 것과 같은 맥락이다. 조씨는 이런 식으로 운영되는 믹싱 서비스의 1회용 지갑 주소를 텔레그램방에 공유해 입장료를 챙겼던 셈이다.
웁살라시큐리티 분석 결과를 보면, 조씨가 박사방 운영을 본격적으로 시작한 지난해 8~9월 기간 모두 약 30개의 비트코인 지갑주소를 이용한 것으로 추정된다. 지갑 하나에는 약 40만원어치 가량의 비트코인이 입금됐으므로, 조씨는 텔레그램방 성착취 동영상 유포를 통해 8~9월 기간 약 1200만원을 벌어들인 셈이다. 이는 범행 초기 비트코인 수입에 국한된 것으로 이후 주 거래 수단으로 삼았던 모네로 등의 수입은 포함되지 않는다.
조주빈의 비트코인은 현금이 됐을까?
조씨가 확보한 비트코인은 몇천의 믹싱 지갑으로 쪼개져 입금됐다. 그리고 잘게 쪼개진 비트코인은 다시 합쳐 모아졌다. 믹싱 기업 관리 아래 31개의 대규모 '집금' 지갑을 형성한 것이다. 이곳에서 조씨의 비트코인은 다른 이들의 비트코인과 섞여 바이낸스, 후오비, 비트렉스, 비트파이넥스, 코인베이스 등 전세계 암호화폐 거래소로 분산 이동했다. 믹싱 서비스들은 거래소들이 의심하지 않도록 일단 암호화폐를 모아 거래소에 진입시킨다.
"믹싱 서비스는 비트코인을 셀 수 없을 정도로 잘게 쪼갠 후 추적을 피해 현금화하는 데 이용한다. 현금화를 하기 위해서는 거래소를 거쳐야 한다. 믹싱 서비스에서 사용한 수천개에 달하는 지갑에서 현금화를 위해 거래소 지갑으로 비트코인을 보내면 거래소 입장에서는 의심스러운 거래로 알아채기 쉽다. 믹싱 서비스 업체는 거래소가 정상적인 거래로 인식할 수 있도록 거래소 지갑에 직·간접적으로 연관된 집금 지갑을 현금화 매개체로 사용한다." - 패트릭 김(김형우), 웁살라시큐리티 대표
암호화폐 거래소에서는 하나의 암호화폐를 다른 암호화폐로 바꿀 수 있고, 암호화폐를 현금으로 또는 현금을 암호화폐로 바꿀 수도 있다. 게다가 국적을 막론하고 같은 암호화폐끼리는 송금이 가능하다. 조씨가 입장료로 받아 믹싱 서비스의 '세탁'을 거친 비트코인을 한국에서 원화로 찾아 쓰려 했다면 충분히 가능했을 것으로 볼 수 있는 대목이다. 해당 비트코인을 해외 거래소에서 국내 거래소로 보내 원화로 찾을 수도 있고, 해외 거래소에서 이더리움, 리플 등 다른 암호화폐로 바꾼 뒤 국내 거래소로 보낼 수도 있다.
다만, 거래소 내에서 이뤄지는 자금 흐름은 외부에서 추적이 힘든 경우가 많다. 이 때문에 거래소의 협조가 절실하다. 패트릭 김 대표는 거래소의 협조가 이뤄진다면, 믹싱 서비스 업체가 사용하는 거래소 지갑을 토대로 믹싱 서비스 사용자 정보를 확인할 수 있다고 강조했다.
"이번 분석 작업을 통해 조씨가 이용한 믹싱 서비스 업체의 구조를 매핑(mapping)할 수 있었다. 믹싱 서비스 업체는 고객 자금의 현금화를 위해 반드시 거래소 지갑을 사용한다. 거래소의 협조가 이뤄진다면, 전 세계에서 암암리 운영되는 믹싱 서비스 업체를 비롯해 조씨와 같은 의뢰자까지도 모두 찾아낼 수 있다."
현재 운영되는 전 세계 믹싱 서비스 기업은 60~70여곳에 이르는 것으로 추산된다. 전문 믹싱 서비스라고는 하지만, 일반인들이 쉽게 검색해 구할 수 있다는 것도 문제로 지적된다. 다만, 이번 사례에서 보듯이 모든 기록이 공개되는 블록체인의 특성상 믹싱이 만능이 되지는 못한다는 한계도 분명하다.
한편, 믹싱 과정과 관련해, 국내 한 언론은 핀란드 소재 장외거래소 로컬비트코인(LocalBitcoins)이 범행에 이용된 정황을 확인했다고 보도한 바 있다. 로컬비트코인은 비단 핀란드뿐 아니라 전세계를 대상으로 개인 간(P2P) 비트코인 매매가 이뤄지는 플랫폼이다. 믹싱을 통한 자금세탁이 완료된 비트코인이라면, P2P 서비스는 현금화할 수 있는 수단이 될 수도 있다. 그러나 박사방 관련 자금 흐름에서 로컬비트코인은 믹싱에 진입하지 않은 첫 단계에서 등장한다. 곧 '박사' 조씨의 유료방 입장을 희망하는 이들이 비트코인을 구입할 때 로컬비트코인을 이용한 경우가 있었다. 결국 로컬비트코인이 자금 세탁에 이용됐을 가능성은 낮아보이지만, 박사방 이용자들을 찾아내는 과정에선 쓰임새가 있을 것으로 보인다.
제보, 보도자료는 contact@coindeskkorea.com