" 제가 이 프로젝트를 기획하고 조직했습니다. 그 배후에 있는 운영자를 어떻게 찾았는지 알고 싶습니다. 제가 알기로는 저를 찾는 건 불가능한 것 같습니다. 무엇에 의지하셨나요 ?"
위의 내용은 선현 공안국이 "12.04" 가상화폐 다단계 판매 사건을 처리하면서 공개한 사건 세부 사항입니다. 심문 과정에서 범죄 용의자이자 피라미드식 판매 방식의 두목인 장은 매우 당황한 표정으로 경찰관에게 이 질문을 던졌습니다.
샤오 변호사가 매일 불법·암호화폐 산업과 가상화폐에 관련된 형사 사건을 처리하다 보면, 많은 당사자들이 이런 의문을 가질 것입니다. 예를 들어, 그들은 저에게 이렇게 묻습니다. "샤오 변호사님, 제가 이 일을 할 당시 저는 해외에 있었고, 제 상사도 해외에 있었습니다. 저희는 보통 TG(비행기 소프트웨어)를 사용해서 소통했는데, 읽은 후에는 모두 지워버렸습니다. 가상화폐 거래는 익명이 보장되지 않나요? 경찰이 저를 어떻게 잡을 수 있을까요 ?"
그럼 오늘은 경찰이 가상화폐 거래 과정을 어떻게 추적하고 가상화폐 범죄 사건의 용의자를 식별하는지에 대해 이야기해보겠습니다.
1. 암호화폐 거래
정말 익명인가요?
블록체인 기술의 응용 분야 중 하나인 가상화폐는 분산화, 개인정보 보호, 거래 비용 절감, 높은 수익률 등의 장점을 가지고 있습니다. 하지만 동시에 일정 수준의 익명성을 갖추고 있기 때문에 일부 범죄자들이 가상화폐를 자금세탁이나 기타 불분명한 산업 거래를 위한 도구로 악용하는 경우가 많습니다.
하지만 가상화폐는 거래 과정이 체인상에서 공개되기 때문에 완전히 익명이 보장되지는 않지만, 주소는 신원과 직접적으로 연관되지 않습니다. 또한, 가상화폐 거래소는 고객확인제도(KYC)와 자금세탁방지(AML) 규정을 준수해야 하므로, 법 집행 기관이 블록체인에서 거래를 추적하기가 더 쉬워집니다.
가상화폐 뒤에는 변조 불가능한 공개 원장이 있기 때문입니다. 따라서 가상화폐 거래에 대한 증거를 수집하는 것은 실제로 공안기관에 매우 유리한 일입니다.
공안기관은 어떻게 자금 흐름을 추적합니까?
용의자를 식별하려면?
아마도 초창기에는 지방 공안기관이 화폐 관련 사건에 대한 이해가 부족했고, 수사를 의뢰한 사건의 수도 적었으며, 많은 피해자들이 자신의 권리를 보호할 방법이 없었을 것입니다.
그러나 사건 처리 부서의 가상화폐에 대한 이해가 깊어짐에 따라, 체인상 데이터를 추적하고 가상화폐의 흐름을 분석하는 능력도 실제로 꾸준히 향상되고 있습니다. 다음은 몇 가지 일반적인 방법입니다.
1. 온체인 주소 상관관계 분석
블록체인 브라우저(예: Tronscan, OKEx)를 통해 거래 그래프를 분석하면 주소 간의 공통 입력(Common Input) 및 자금 수집 패턴을 파악하는 것이 가능합니다. 예를 들어, 여러 주소가 자주 동일한 대상 주소로 자금을 이체하는 경우, 해당 주소들이 동일한 기관에 의해 제어된다고 추론할 수 있습니다.
샤오 변호사의 화폐 관련 사건 처리 경험에 따르면, 이러한 분석 방법은 가상화폐 피라미드식 범죄와 카지노 개설 범죄 에 자주 사용됩니다.
위에 언급된 랴오청 "12.04" 가상화폐 피라미드 사기 사건에서 경찰은 피라미드 사기 플랫폼이 토큰포켓 지갑을 통해 여러 주소를 생성하여 자금을 모으고, 최종적으로 자금을 메인 주소로 흘려보낸 후 거래소를 통해 인출했다는 사실을 발견했습니다. 이러한 주소의 거래 빈도와 자금 규모를 분석하여 배후를 파악했습니다.
샤오 변호사가 변호한 많은 카지노 관련 사건에서, 카지노와 지불 정산 담당자 간의 수익 정산 과정에서도 수금 주소를 돌파구로 활용해 관련된 사람들의 신원을 확보했습니다.
2. 거래소 KYC 인증
현재, 대부분의 주요 가상화폐 거래소(바이낸스, OKX, 후오비 HTX 등)와 디지털 지갑 플랫폼(임토큰 등)은 공식 웹사이트에 중국 공안 당국과의 협력에 대한 정책 규칙과 중국 본토 공안 당국과의 협력을 위한 특별 채널을 공개적으로 공개하고 있습니다.
법 집행 기관은 용의자의 등록 정보, 얼굴 사진, 금융 정보, 입출금 거래, 다양한 통화의 지갑 위치, 법정 통화 거래, 통화 간 거래, 계약 거래, 로그인 IP, MAC 및 기타 장치 정보를 검색해 달라고 요청하는 협조 서한을 이메일로 거래소에 보낼 수 있습니다.
또한 거래소는 법 집행 기관의 요청에 따라 용의자 계좌의 가상화폐를 동결할 예정입니다. 동결 기간은 1년이지만, 법 집행 기관은 만료 전에 갱신을 신청할 수 있습니다.
3. 처리 수수료(가스 수수료), 거래 해시 추적
성공적인 암호화폐 거래가 이루어질 때마다 가스 수수료(TRX/ETH 등)를 지불해야 합니다. 그러면 용의자가 훔친 돈을 받은 지갑 주소를 추적하면, 용의자가 거래소에서 가스비를 구매한 기록을 추적할 수 있습니다. 예를 들어, 경찰은 관련 주소의 가스 수수료 출처를 분석한 결과, 바이낸스 계좌를 통해 TRX를 구매하여 거래 수수료를 지불한 것으로 밝혀졌으며, 이로 인해 거래소 계정이 잠겼습니다.
가상화폐 거래에서 거래 해시는 거래의 고유성과 불변성을 보장할 수 있으며, 각 거래에서 생성되는 해시값은 고유합니다. 거래 해시는 보내는 사람의 주소, 받는 사람의 주소, 거래 금액, 거래 수수료 등과 같은 거래 세부 정보를 보여줄 수 있습니다.
수사관은 가상화폐 거래소에 가스비 거래 내역과 거래 해시를 제공하여 용의자의 KYC 정보(여권, 신분증, 이메일 주소, 휴대전화 번호 등)를 얻을 수 있습니다.
4. 장치 지문 및 IP 연결
조사관은 거래소나 지갑의 로그인 IP와 기기 ID(예: 휴대폰 IMEI 및 MAC 주소)를 사용하여 여러 주소의 운영 동작을 연관시키고 이를 통해 대상을 잠급니다.
예를 들어, MIT 해커 형제의 경우, FBI는 용의자들이 사용한 VPN 로그와 기기 지문을 분석하여 그들이 동일한 거래소 계정에 여러 번 로그인했음을 발견했고, 궁극적으로 그들의 물리적 위치를 찾아냈습니다[i].
5. 크로스체인 교환 및 화폐 혼합 크래킹
많은 용의자들은 크로스체인 거래나 코인 믹서를 사용하면 자신의 신원을 더 잘 숨길 수 있다고 생각하지만, 사실은 그렇지 않습니다.
크로스체인 추적 : 크로스체인 브리지(예: 비트코인 → 이더리움)를 통한 거래 해시를 통해 자금 이체 경로를 추적합니다.
믹서 분석 : 체인상 지문 기술(거래 시간 및 금액 패턴 등)을 사용하여 믹서(예: Tornado Cash)의 입력 및 출력 주소를 식별합니다.
예를 들어, 미국 법무부가 Colonial Pipeline의 몸값을 회수할 때 해커의 "체인 자금 세탁" 경로를 분석하고 궁극적으로 "dh77gls"[ii] 문자로 끝나는 키 주소에 대한 개인 키 문자열을 가로챘습니다.
6. 국제 협력 및 스테이블코인 동결
USDT와 같은 스테이블코인의 경우, 공안부는 발행자(예: 테더)에게 관련 주소에 있는 자금을 동결하도록 요구할 수 있습니다 . 국제 협력도 가능합니다.
예를 들어, 후베이성 징먼시 경찰은 4,000억 위안 규모의 국경 간 온라인 도박 사건(국가 최초의 "가상 화폐 사건")을 단속했습니다. 보도에 따르면 "해당 플랫폼이 모든 결제에 가상화폐를 사용했기 때문에 공안기관은 가상화폐 발행사와 연락을 취하고 사건에 연루된 가상화폐 계좌를 동결했다."
예를 들어, 쓰촨성 네이장에서 발생한 5,500만 이더리움 도난 사건의 경우, "쓰촨성 경찰은 이 사건을 해결하기 위해 싱가포르, 미국, 네덜란드와 14차례의 국제 공조를 진행했습니다. 실제 수사 과정에서 블록체인 주소 분석 기법과 전술을 개선하고, 해외 가상화폐 거래소에서 70회 이상 데이터를 검색하여 2만 개 이상의 블록체인 주소를 추적했습니다"[iii].
7. 최종 인출 흐름에서 추적
대부분의 국가에서는 용의자들이 보유한 가상화폐를 일상 소비에 직접 사용할 수 없기 때문에 항상 가상화폐를 법정 화폐로 교환하는 암시장 및 회색 시장 거래가 이루어집니다. 합법적인 화폐를 교환하는 데 도움을 주는 사람은 상류 범죄자의 신원을 추적하는 돌파구가 됩니다.
8. 비정상적인 거래는 위험 통제를 유발합니다.
많은 사람들의 은행 카드가 동결되는 이유는 잦은 빠른 입출금 거래로 인해 은행의 위험 관리 시스템이 작동하기 때문입니다. 이는 Web3의 세계에서도 마찬가지입니다.
일반적으로 일반적인 암호화폐 거래자는 큰 금액의 빠른 입출금 거래를 빈번하게 하기보다는 플랫폼에 자금을 투자하여 매수 및 매도를 합니다. 따라서 코인의 흐름을 추적할 때, 어떤 주소에서 자금의 유입과 유출이 빠른 것으로 확인되면 의심스러운 주소로 간주하게 됩니다.
결론
범죄자들은 다음과 같이 착각할 수 있습니다. 가상 화폐 거래는 익명이므로 수사관이 실제 신원을 확인할 수 없습니다. 가상화폐 거래소는 모두 해외에 위치해 있기 때문에 국내 경찰이 수사하고 증거를 수집하는 것은 분명 어렵습니다. 이들은 크로스체인이나 코인 믹서 등을 통해 추적이 불가능합니다. 따라서 이들은 부도덕하게 암거래와 그레이마켓 거래에 참여하게 됩니다. 하지만, 위험을 감수하려는 이런 사고방식은 결국 그들을 더 큰 곤경에 빠뜨릴 뿐입니다.
그러나 체포된 후, 일부 당사자들은 자신의 행동을 얼마나 후회하는지 나에게 이야기하곤 했습니다. 하지만 그들이 후회하는 것은 법을 위반했다는 사실이 아니라, 거래 과정을 더 비밀스럽게 설계하지 않았다는 사실이었습니다.
이런 사람을 만나면, 무슨 말을 해야 할지 모르겠고 한숨만 쉬며 대답할 때가 있습니다.
[i] MIT를 졸업한 해커 형제 두 명이 12초 만에 2,500만 달러 상당의 암호화폐를 훔친 혐의로 체포되었습니다. http://note.f5.pm/go-240378.html
[ii] 미국 법무부는 해커들의 협박으로 63.7개의 비트코인을 압수했고, 비트코인은 단 하루 만에 10% 이상 하락했습니다. 지미안 뉴스 https://m.jiemian.com/article/6209923.html
[iii] 쓰촨성 네이장 5500만 달러 블록체인 자산 도난 사건이 해결되었습니다! https://xinjiapo.news/news/215601/
동결된 가상 머신을 강제로 적용할 수 있나요?
철저한 조사 끝에 신현 공안국은 도시 최초의 대규모 가상화폐 피라미드 사기를 성공적으로 단속했습니다. https://mp.weixin.qq.com/s/KduRfmY5hk8r6xLO5t_epQ
