Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Money Laundering Detection Technology through Empirical Analysis of Cryptocurrency Transactions

암호화폐 트랜잭션의 실증적 분석을 통한 자금세탁 탐지 기술

  • 신미진 (성신여자대학교/융합보안공학과) ;
  • 유민정 (성신여자대학교/융합보안공학과) ;
  • 정윤영 (성신여자대학교/융합보안공학과) ;
  • 김성민 (성신여자대학교/융합보안공학과)
  • Received : 2025.02.13
  • Accepted : 2025.02.27
  • Published : 2025.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

Cryptocurrencies have been attracting attention as a core technology for decentralized financial services and e-commerce without a centralized financial authority system, but they are being exploited for crimes such as illegal transactions, fraud, and ransomware theft in dark web markets based on the anonymity guaranteed by cryptocurrencies. Most illegally traded cryptocurrencies concealed the source of funds through mixing services, but as service sanctions continue due to the increase in the illegal use of mixers, new transaction techniques are emerging, and money laundering trends are rapidly changing, making technological response research urgent. However, not only is there a lack of actual data to evaluate the accuracy of illegal money laundering detection, but the illegal money laundering detection techniques proposed so far can only detect laundering for wallets identified as illegal through investigations, so there is a limitation in that the effectiveness of transactions for which the investigation details have not been properly evaluated exists. Therefore, in this study, we used the cryptocurrency analysis tool (Reactor) provided by Chainalysis to analyze complex money laundering patterns that could not be confirmed in previous studies based on actual data, and analyzed money laundering techniques that occurred for addresses under investigation.

암호화폐는 중앙화된 시스템 없이 신뢰성을 갖춘 탈중앙화 금융서비스 및 전자상거래를 위한 핵심 기술로 주목받아왔으나, 암호화폐가 보장하는 익명성을 바탕으로 다크웹 시장에서 불법 거래, 사기, 랜섬웨어를 통한 자금 도난 등의 범죄에 악용되고 있다. 불법 거래된 암호화폐는 주로 믹싱 서비스를 통해 자금 출처를 은닉했지만, 믹서의 불법 사용 증가로 인해 규제가 강화되면서 새로운 트랜잭션 기법들이 등장하고 있어 기술적 대응 연구가 시급하다. 하지만 불법 자금세탁 탐지의 정확도를 평가할 실측자료가 부족할 뿐만 아니라, 기존 불법 자금세탁 탐지기법들은 수사를 통해 불법으로 식별된 지갑을 대상으로만 세탁 여부를 탐지할 수 있어 수사 내역이 공개되지 않은 트랜잭션에 대한 실효성 검증이 미흡하다는 한계가 있다. 이에 본 연구에서는 체이널리시스 사의 암호화폐 분석 도구(Reactor)를 사용하여 실측자료 기반으로 복합적인 자금세탁 패턴을 분석하고, 수사 중인 주소에서 발생한 자금세탁 기법을 분석하였다.

Keywords

1. 서론

암호화폐는 중앙 관리 시스템 없이 거래를 가능하게 하는 점으로 온라인 금융서비스 및 전자상거래를 발전시키는 핵심 요소로써 주목받아왔으나, 가치의 높은 변동성, 법적 규제 미비로 인해 화폐로서 다양한 서비스에 활용되기보단 가치 저장 수단으로만 사용되고 있다. 그러나 최근 들어 암호화폐는 딥웹‧다크웹 상에서 사기, 랜섬웨어 판매 등 불법 거래 및 자금 탈취에 사용되고 있다[1]. 이는 암호화폐가 보장하는 익명성을 통해 자금 추적 등을 피하기 위한 목적이며, 가상자산 추적의 어려움을 가중하기 위해 범죄자들은 블록체인상에서 믹서(mixer)와 같은 개인정보보호 서비스, 탈중앙화 서비스를 악용하여 불법적인 자금세탁을 통해 현금화하고 있다. 암호화폐 분석 및 추적 전문 기업 Chainalysis 사의 암호화폐 범죄 보고서에 따르면[1], 2019년 이후로 현재까지 매년 110억 달러 이상 불법 자금세탁이 이루어지고 있으며, 자금세탁의 주요 서비스인 믹서(mixer)의 제재 이후 자금 분산 트랜잭션 기법, 대체 서비스 사용 등 자금세탁 동향이 빠르게 변하고 있다. 따라서, 고도화된 자금세탁 수법을 사용하는 불법 행위자들에 따라 급변하는 자금세탁 유형을 빠르게 파악하고, 블록체인 온체인 상에서 발생하는 분산 트랜잭션 내 자금세탁 패턴을 도출하는 것이 중요한 과제가 되었다.

기존 불법 자금세탁에 관한 연구는 공개된 블록 탐색기를 기반으로 불법 지갑 주소로 식별된 지갑과 동일한 소유권으로 판단한 트랜잭션을 GNN 알고리즘 기반 그래프로 표현하고, 그래프상에 믹서나 현금화가 가능한 거래소가 존재한다면 자금세탁을 시도했음으로 판별하였다[2, 3]. 그러나 블록 탐색기의 트랜잭션 데이터상으로는 직접적인 거래 이외에 간접적으로 파생된 거래의 UTXO 소유자가 동일한지 보장할 수 없고, 소유자 권한을 식별할 수 있는 실측자료(ground truth)가 존재하지 않아 현재까지 경험적 분석 기반으로 연구가 진행되어왔다. 또한, 경험적 분석기법의 정확도 한계로 인해 불법으로 식별된 지갑이 존재해야 탐지할 수 있지만, 암호화폐 수사 과정에서 불법으로 식별될 경우 동일 소유권 지갑을 모두 합병함에 따라 자금세탁 패턴을 명확하게 파악할 수 없다. 정확도 높은 불법 자금세탁 탐지 및 연계 트랜잭션의 실증 분석을 진행하기 위해서는 Elliptic, Chainalysis와 같은 암호화폐 범죄 수사 및 연구 기업의 실측자료 및 트랜잭션 패턴의 라벨링(labeling)이 지정되어있는 분석 도구를 제공받아야 한다.

본 연구에서는 Chainalysis에서 제공하는 암호화폐 추적 도구(reactor)를 활용하여 아직 불법으로 식별되진 않았으나 사기(scam)로 다수 신고된 지갑 주소를 대상으로, 기존 연구에서 확인할 수 없었던 불법 자금세탁 패턴 및 의심되는 패턴의 실증 분석을 진행한다. 자금세탁에 활용되는 다양한 서비스들의 패턴을 도출하기 위해 UTXO(Unspent Transaction Output) 분석을 수행하였으며, 그 결과 Peel Chain, Coin Join과 같은 서비스에 대해 자금세탁 여부를 경험적 분석(heuristic)기법으로 탐지할 수 있는 방법론을 제안하였다. 이를 통해 기 제안된 패턴이 실제 자금세탁에 미치는 영향도를 파악하고, 식별하지 않은 비트코인 트랜잭션에 적용하여 실제 자금세탁이 발생했는지 여부를 실증하는 사례 연구를 수행하였다.

본 논문의 구성은 다음과 같다. 2장에서는 암호화폐 범죄와 자금세탁 및 현금화 과정을 분석하고, 본 연구에서 사용하는 Reactor에 대해 소개한다. 3장에서는 기존 블록 탐색기로만 분석했던 기존연구의 한계점을 설명하고, 4장에서는 공개된 블록 탐색기 상에서 확인할 수 있는 패턴과 복합적인 패턴을 제안한다. 5장에서는 Reactor 분석 도구로 실제 사건에서 나타난 자금세탁 패턴을 바탕으로 수사 중인 사건에서 발견할 수 있는 악의적인 트랜잭션을 확인하고, 6장에서 결론을 맺는다.

2. 배경지식

2.1 비트코인

암호화폐는 대표적으로 UTXO 기반으로 거래가 이루어지는 비트코인과 스마트 컨트랙트로 거래가 이루어지는 이더리움 등이 존재한다. 대표적인 암호화폐 피해접수 Chainabuse1)의 Report에 따르면, 비트코인의 피해 신고 횟수가 이더리움의 약 8배 이상 차지하고 있어 현재까지 가장 심각한 피해를 야기한다. 따라서 본 연구에서는 비트코인을 중심으로 피해 자금 추적 및 자금세탁 패턴 분석을 진행하고자 한다.

비트코인 트랜잭션을 분석하는 전형적인 방법은 UTXO(Unspent Transaction Output) 모델을 기반으로 한다. UTXO는 비트코인 트랜잭션을 구성하는 기본 단위로, 거래가 성사되기 위해서는 UTXO 잔여 금액을 모두 소비해야 한다[4]. 다시 말해, 비트코인 송금을 진행하면 하나의 UTXO를 분할하여 발신지에서 수신지로 전송하고, 남은 금액은 본인 또는 다른 주소로 송금해야 한다. 송금 과정에서 목표 금액을 보내고 남은 금액을 송금한 주소를 체인지 주소(change address)라고 한다[5]. 비트코인의 트랜잭션은 mempool.space2)와 같은 공개된 블록 탐색기 상에서 지갑 주소, 트랜잭션 hash 등을 통해 송수신자 및 UTXO 거래 내역을 확인할 수 있다. 그러나 블록 탐색기상의 정보만으로는 직접 거래된 단조로운 트랜잭션 정보만 확인할 수 있어 분산 트랜잭션, 고도화된 자금세탁 트랜잭션 기법을 이해하기에 어려움이 있다. 정확한 트랜잭션 기법을 파악하기 위해서는 여타 불법 지갑 및 자금세탁 서비스와의 간접적인 연관성을 확인할 수 있는 자금 추적 프로그램을 사용해야 한다.

2.2 암호화폐 자금세탁 관련 서비스

비트코인은 익명성을 보장하는 블록체인 네트워크 또는 믹싱 서비스(mixer) 등으로 세탁이 가능하다는 점으로 전자상거래 및 다크웹 상에서 거래에 활용되고 있다. 현재까지는 믹서의 이용률이 가장 높았지만, 불법 거래에 연루된 믹서의 제재와 일부 디믹싱이 가능해지면서 여타 자금세탁 서비스 및 고도화된 자금 분산 기술이 발전하고 있다. 현재까지 공개된 온체인 상에서 자금세탁이 가능한 서비스는 믹서, 크로스 체인 브릿지, P2P 거래소 등이 존재하고, 세탁한 자금을 현금화할 수 있는 서비스로 중앙화 거래소, 고위험군 거래소가 존재한다.

2.2.1 믹서(mixer)

믹서는 여러 사용자가 입금한 토큰을 혼합해서 출금함으로써 송수신자 간의 연결성을 파악하기 어렵게 하는 가장 기본적인 자금세탁 방법으로 사용되고 있다. 초기 믹서는 암호화폐가 대중화되면서 약화된 개인정보보호로 인한 범죄를 예방하기 위해 등장했으나, 현재는 도난 및 탈취자금으로 인한 자금의 출처를 은닉하기 위한 불법 자금세탁의 수단으로 사용되고 있다[1]. 특히, 불법 활동에 연관된 지갑에서 디파이 프로토콜, 중앙화 거래소 거래대금이 증가할수록 믹서 사용량이 증가하는 것을 확인할 수 있다. 이처럼, 믹서가 불법 자금세탁에 사용되고 있음이 공개적으로 보도됨에 따라 해외자산통제국(OFAC)에서는 <표 1>과 같이 암호화폐 탈취집단의 자금세탁을 도운 믹서들을 점차 서비스 제재 대상으로 선정하고 있다[1].

<표 1> Sanctioned Mixer

SOBTCQ_2025_v25n1_105_3_t0001.png 이미지

2.2.2 크로스 체인 브릿지(cross-chain bridge)

크로스 체인 브릿지는 중앙 관리자 없이 서로 다른 블록체인 네트워크 간에 토큰 및 데이터를 전송 및 전환하는 탈중앙화 서비스이며, 스마트 컨트랙트 형태로 배포되었다[6]. 이는 자산 이동의 신속성 및 효율성을 증대하지만 스마트 컨트랙트 상에서 취약점이 발생하면 송금 과정에서 큰 자산피해를 일으킬 수 있다는 문제점이 존재한다. 근래까지 스마트 컨트랙트 코드상의 취약점 보완에만 초점을 맞추어온 서비스이지만, 최근 믹서의 지속적인 제재로 인해 중앙 관리자 없이 블록체인 네트워크 간의 전환이 가능한 크로스 체인 브릿지를 불법 자금세탁에 활용하고 있다. 크로스 체인 브릿지는 코드상에서 불법 사용자 및 범죄 연관성 검증을 하지 않는다는 점에서 자금세탁의 새로운 대안이 되고 있다. 이처럼 크로스 체인 브릿지를 사용하여 자금 흐름을 추적하기 어렵게 하는 기법을 체인 호핑(chain hopping) 기법이라고 한다. 실제로, 믹서의 불법 사용증가로 인한 제재가 이루어지면서, 2023년 이후로 크로스 체인 브릿지의 사용률이 증가하고 있다[1].

2.2.3 현금화

세탁한 자금의 현금화를 위해서는 무조건 거래소를 이용해야 한다. 이용할 수 있는 거래소는 중앙화 거래소 또는 고위험군 거래소이다. 중앙화 거래소는 대부분 KYC(Know Your Customer)를 준수하여 범죄와 연관된 지갑 주소의 신원정보를 요구할 수 있고, 고위험군 거래소는 KYC를 준수하지 않으므로 고객의 정보를 알 수 없으나 해당 거래소는 검증되지 않아 이용시에 사기 및 도난의 위험이 존재한다.

2.3 암호화폐 트랜잭션 추적 도구

Chainalysis는 온라인상의 부정 거래 및 다크웹 상의 암호화폐 불법 사용에 대해 수사하는 대표적인 기업으로, 공개된 분산 원장 분석 도구 Reactor를 유료로 제공하고 있다. Reactor의 트랜잭션 데이터는 공개 원장 상에 생성된 이후 5초 이내로 반영하고, 일반 웹 포럼과 다크웹 포럼에서 공개 정보를 수집하여 지갑의 OSINT(Open Source Intelligence)를 제공한다[1]. 또한, 여타 추적 도구와 달리 Reactor에서는 그래프상에서 익명성을 강화하는 자금세탁 기법의 라벨링을 제공하고, (그림 1)과 같이 조사하고자 하는 트랜잭션과 직‧간접적으로 관련된 서비스를 식별한다. 이처럼 Chainalysis Reactor는 직관적인 인터페이스를 제공함으로써 자금의 피해 주체 및 직‧간접적으로 연관된 서비스를 이해하는 것에 도움을 준다.

SOBTCQ_2025_v25n1_105_4_f0001.png 이미지

(그림 1) Service Exposure on Reactor

3. 관련 연구

현재까지 제안된 불법 자금세탁을 판별하는 연구는 블록 탐색기 상에 불법 주소로 보고된 주소를 대상으로 익명성을 강화하는 패턴 분석 연구와 머신러닝을 사용한 자금세탁 정확도 탐지 연구가 존재한다. 제안된 익명성 강화 패턴 분석 연구는 불법 주소를 중심으로 남은 잔액을 연쇄적으로 분할하여 송금한 체인지 주소를 식별하는 과정을 중점으로 둔다[2]. 이 패턴은 Peelchain 기법으로 불리며, 중앙통제를 받는 서비스와 거래할 때 자금을 소액으로 분할하여 의심받지 않게 하려고 사용된다. 해당 연구는 블록 탐색기 상에서 Peelchain을 식별할 수 있는 경험적 분석 기법(heuristic analysis)을 제안하였다. 그러나 분석과정에서 파생된 체인지 주소의 소유권이 동일한지 정확성을 보장할 수 없고, 실제 소유자를 표시할 수 있는 실측자료가 존재하지 않는다는 한계점이 존재한다.

머신러닝을 사용한 자금세탁 탐지 연구는 GNN 알고리즘을 사용하여 범죄 주소로 보고된 지갑과 동일한 소유권으로 판단한 트랜잭션을 그래프로 표현하였다[3]. 그래프상에 자금세탁 서비스가 존재하면 자금 세탁으로 라벨링 하여 훈련 데이터셋으로 학습시켰다. 그러나 이는 범죄로 라벨링 된 주소가 무조건 포함되어야 탐지할 수 있으며, 신고를 받았으나 제재되지 않은 지갑 주소에서 발생하는 자금세탁은 탐지할 수 없다. 또한, 그래프상에 표현된 트랜잭션이 모두 동일 소유권인지에 대한 실측자료도 존재하지 않는다.

기 제안된 연구들은 블록 탐색기 상에서 단순히 직접적으로 발생한 트랜잭션을 대상으로 연구하였으며, 연쇄적인 거래로 인해 간접적으로 발생한 자금세탁의 흐름도를 파악할 수 없다. 또한, 블록 탐색기 상에서는 범죄 수사가 완료된 지갑의 라벨링만 제공하고, 자금세탁 기법 및 특수 서비스의 라벨링을 제공하지 않아 연구의 실측자료 확보에 한계가 존재한다. 본 연구에서는 Chainalysis Reactor가 제공하는 자금세탁 패턴 및 익명성 강화 서비스 사용에 관한 라벨링 실측 자료를 기반으로, 실제 사기(scam) 사건에서 발생하는 자금세탁 기법을 분석하고, 수사 중인 사건에 대해 분석기법을 적용하여 실효성을 검증한다.

4. UTXO 패턴 분석

4.1 UTXO 기본 패턴(primitive pattern)

비트코인 트랜잭션은 UTXO 분석을 통해 트랜잭션 소유자가 변경되는 시점 등의 정보를 추측할 수 있다. 그러나 블록 탐색기 상에서는 단조로운 UTXO 기본 패턴만 나타나기 때문에 자금세탁 패턴을 파악하고 분석하기에 어려움이 있다. UTXO 기본 패턴은 세 가지 패턴으로 구분되며, 비트코인 단일 트랜잭션에 나타난다[7]. (그림 2), (그림 3), (그림 4)는 금액이 다른 세개의 UTXO를 관리하는 지갑에서 20BTC를 송금하는 것을 목표로 할 때 발생할 수 있는 패턴이다.

(그림 2)와 (그림 3)은 수신자에게 30BTC가 들어있는 UTXO(1)을 사용하여 20BTC를 송금하는 경우에 나타난다. 비트코인 거래가 성사되기 위해서는 UTXO 잔여 금액을 모두 소비해야 하므로, 10BTC를 남은 잔액을 송금하는 체인지 주소(change address)로 송금해야 한다. 이 패턴 분석을 통해 송금하는 과정에서 일반적으로 합법적인 자금을 송금하는 패턴과 불법 자금을 세탁할 시에 발생하는 패턴을 비교할 수 있다. 본 연구에서는 자금세탁 분류에 초점을 맞추었기에 트랜잭션에서 발생하는 수수료는 제외하였다.

(그림 2)에서는 목표한 금액을 Address B로 보내고, 체인지 주소를 본인 지갑으로 재사용하여 본인이 수신하였다. 주소를 재사용함으로써 수수료를 절감하고, 익명성보다 효율성 및 편의성을 중점으로 두고 거래하는 트랜잭션임을 확인할 수 있다. 따라서 일반적인 합법 트랜잭션에서 주로 발생하는 패턴이다.

SOBTCQ_2025_v25n1_105_5_f0001.png 이미지

(그림 2) Primitive Pattern 1

(그림 3)에서는 목표한 금액을 Address B로 보내고, 나머지 금액을 Address C로 송금하였다. 경험적 분석에 의하면, 불법 자금의 자금세탁 및 현금화를 시도할 시에 소액 분할 후 거래를 진행함으로써 의심을 최소화하는 패턴의 기본이 된다. 여러 비수탁 지갑을 개설하여 한번 세탁에 사용한 지갑을 재사용하지 않으며, 이는 후술할 Peelchain 패턴을 발생시킨다.

SOBTCQ_2025_v25n1_105_5_f0002.png 이미지

(그림 3) Primitive Pattern 2

(그림 4)는 수신자에게 UTXO(2)와 UTXO(3)을 단일 트랜잭션으로 통합하여 20BTC를 송금할 때 나타나는 패턴이다. 기존에 송금받은 여러 UTXO를 혼합하여 더 이상 단일 UTXO의 사용처에 대한 추적을 불가능하게 함으로써 익명성 강화의 기본이 되는 패턴이다. 이 패턴의 입출금 트랜잭션 범위가 증가한다면, 다중 UTXO를 혼합하여 자금 세탁하는 Coinjoin 패턴이 발생하게 된다.

SOBTCQ_2025_v25n1_105_5_f0003.png 이미지

(그림 4) Primitive Pattern 3

4.2 자금세탁 패턴(money laundering pattern)

자금세탁 패턴은 앞서 제안한 UTXO 기본 패턴이 결합된 복합적인 패턴으로 나타나며, 블록 탐색기 상에서 직접 파악하기 어려워 선행연구에서는 대부분 머신러닝 기법을 사용한 연쇄 트랜잭션 분석을 사용하였으나[8], 직접적인 발생 과정을 분석한 연구는 미비하다. 본 장에서는 불법 자금세탁 시 발생하는 대표적인 패턴 Peel chain, Coinjoin, Miscellaneous 패턴의 발생 과정 및 거래 방식을 살펴보고자 한다.

4.2.1 Peelchain

Peelchain은 대량의 자금에서 소액을 분할하여 반복적인 이체를 통해 암호화폐를 세탁하는 방식이다[9]. 중앙통제를 받는 서비스에서는 대량의 자금이 입금될 경우 해당 주소를 주의 대상으로 선정하기 때문에 감시 규제를 회피하기 위해 다중 지갑을 개설하고, 소액으로 분할하여 세탁한다. (그림 5)는 Peelchain 과정의 일부로, 출금 과정에서 Primitive Pattern 2를 연쇄적인 패턴으로 발생시키고, 모든 자금이 소멸할 때까지 이 과정을 반복한다. 블록 탐색기로는 연쇄적으로 발생하는 트랜잭션에서 동일 UTXO를 추적하기 힘들지만, 암호화폐 추적 도구(reactor) 상에서는 자동 식별되어 분석할 수 있다. Peelchain 패턴은 자금세탁을 위해 사용되는 익명성 강화 트랜잭션 패턴으로, UTXO를 소액으로 분할하여 Mixer, 다크넷 마켓, 현금이나 다른 자산으로 변환 가능한 거래소에서 현금화를 진행한다. 또한, 소액의 현금화를 목적으로 하며, 남은 거액의 UTXO는 본인 소유의 새로운 주소로 송금하고 소액을 분할하는 과정이 반복된다.

SOBTCQ_2025_v25n1_105_6_f0001.png 이미지

(그림 5) Peelchain Pattern

4.2.2 Coinjoin

Coinjoin은 (그림 6)과 같이 서로 다른 사용자로부터 입금받은 UTXO를 혼합하여 원래 UTXO가 어디로 전송됐는지 식별할 수 없게 하는 트랜잭션 기법으로, 믹싱 서비스의 기본적인 원리로 사용되고 있다[9,10]. 이 패턴은 Peelchain과 달리 입금과정에서 혼합과정을 통해 익명성을 강화하는 패턴으로, 서로 다른 사용자로 부터 Primitive Pattern 3의 혼합 방식으로 트랜잭션을 결합한다. 익명성이 강화된 트랜잭션은 출금 주소만으로 전달받은 수신자를 명확히 알 수 없지만, 큰 금액을 입금했다면 해당 출금의 액수도 클 가능성이 크므로 송수신자를 유추하는 경험적 분석기법이 존재한다. 그러나 이 기법의 경우 정확도를 측정할 수 없다. Coinjoin은 결합하는 UTXO의 수가 많을수록 익명성이 증가하기 때문에 불법 자금세탁을 목표로 하는 경우 Coinjoin을 지원하는 서비스를 이용한다. 

SOBTCQ_2025_v25n1_105_6_f0002.png 이미지

(그림 6) Coinjoin Pattern

4.2.3 Miscellaneous

Miscellaneous Pattern은 기존에 자금세탁 트랜잭션으로 도출된 것이 아닌, 5장의 Reactor를 사용하는 분석과정에서 찾아낸 새로운 유형의 자금세탁 패턴이다. 본 패턴은 서로 다른 지갑을 다중 개설 후 Primitive Pattern 2 트랜잭션을 사용하여 무작위로 UTXO를 분산시키고, 단기간에 Primitive Pattern 3의 혼합 방식을 통해 신원 검증이 약한 하나의 서비스를 대상으로 자금세탁 및 현금화를 진행한다. 이 패턴은 블록 탐색기 상에서 공통된 특징을 발견할 수 없고 추적을 회피하는 기법으로 사용되지만, Reactor 상에서는 자금의 출처가 동일함을 알 수 있다. (그림 7)은 Miscellaneous Pattern을 사용한 트랜잭션의 예시이다. 하나의 입금에 대해 3개 이상의 다중 출금이 이루어지며, 무작위 송금으로 인한 체인지 주소가 존재할 가능성이 크다.

SOBTCQ_2025_v25n1_105_6_f0003.png 이미지

(그림 7) Miscellaneous Pattern

Miscellaneous Pattern의 전체적인 흐름은 (그림 8)과 같이 크게 3가지 유형으로 분류된다. (1)에서와 같이 탈취한 자금을 무작위로 여러 지갑에 분산시켜 (2)와 같이 작은 UTXO로 분할하고, (3)과 같이 하나의 자금세탁 서비스로 송금한다. 이 패턴은 약간의 익명성 저하가 발생할 수 있으나, 자금세탁 서비스의 신분 검증이 강화되면서 상대적으로 세탁하기 쉬운 하나의 서비스를 대상으로 발생하는 패턴이다. 여러 자금세탁 서비스를 사용하는 경우 서비스마다 다른 검증 절차 및 조건이 존재하기 때문에 단기간에 세탁하고자 할 때 사용하는 자금세탁 트랜잭션 기법으로 확인하였다.

SOBTCQ_2025_v25n1_105_6_f0004.png 이미지

(그림 8) Process of Generating Miscellaneous Pattern

5. 암호화폐 추적 및 거래 분석

본 장에서는 실제 불법 지갑으로 신고된 대규모 사기(scam) 지갑에 대해 발생하는 자금세탁 기법 및 서비스를 사용한 현금화 트랜잭션을 분석하고, 수사 중인 지갑 주소를 대상으로 자금세탁 기법 및 거래 의도를 분석하였다.

5.1 실제 불법 행위자의 자금세탁 분석

실제 불법 지갑으로 신고된 사건을 분석하기 위해 암호화폐 피해 신고 사이트인 Chainabuse에서 2024년 4월 기준으로 107건의 신고가 접수된 주소를 선정하였다. 이 사건은 개인 정보를 탈취했다는 피싱 이메일로 신고되었으며, 유출을 막기 위해서는 비트코인 입금을 요구하였다고 보고되었다. (그림 9)과 같이 해당 주소를 Chainalysis Reactor를 사용하여 UTXO를 분석하고, 자금의 전체적인 세탁기법 패턴을 실증 분석하였다.

SOBTCQ_2025_v25n1_105_7_f0001.png 이미지

(그림 9) Analysis using Chainalysis Reactor

분석 대상 주소는 (그림 9)의 Deposit 부분과 같이 크게 6개의 암호화폐 거래소 사용자를 대상으로, 다수의 개인으로부터 비트코인을 탈취하였다. 공격자가 비트코인을 요구하면 피해자는 지갑 개설 및 입출금 절차가 복잡한 비수탁 지갑을 사용하지 않고, 암호화폐 거래소에서 제공하는 수탁 지갑을 개설하여 요구된 지갑 주소로 송금한다[11]. 따라서, 비수탁 지갑에 지속해서 일정한 금액을 송금하는 수탁 지갑 트랜잭션이 존재한다면 피해자로부터 입금 받았음으로 간주한다.

공격자는 탈취한 자금을 (그림 9)와 같이 크게 6개의 경로로 분할하여 자금세탁을 시도하였다. 첫 번째로, 전체 자금 중 가장 큰 금액을 송금한 1번 트랜잭션(4.42 BTC)은 (그림 10)과 같이 작은 UTXO를 혼합하고, 하나의 트랜잭션으로 믹싱 서비스인 BitMix.Biz에 송금하였다. BitMix.Biz는 여타 믹싱 서비스와 달리 트랜잭션 혼합 정도에 기반한 수수료를 직접 설정할 수 있으며, 후속 거래에서는 원래 소유했던 비트코인이 일부 존재할 수 있다는 점을 방지하고자 특수 코드를 발급한다[12]. 해당 믹싱 서비스는 현재까지 개발된 디믹싱 기술로는 분석이 불가한 최상위 익명성을 보장하는 서비스로, 익명성을 강화하는 트랜잭션이 없어도 수사가 불가능한 불법 자금세탁을 가능하게 한다.

SOBTCQ_2025_v25n1_105_8_f0001.png 이미지

(그림 10) 4.42 BTC Co-spent

1번 트랜잭션을 제외한 자금은 5개의 트랜잭션으로 분산하였고, 자금세탁 패턴을 사용한 대부분의 트랜잭션은 Peelchain 자금세탁 방식을 활용하였다. 대표적으로, 2번 트랜잭션(3.71 BTC)에서는 2.44 BTC와 1.26 BTC로 다시 분산하여 자금세탁을 시도하였다. 먼저 2.44 BTC는 (그림 11)과 같이 Peelchain 패턴으로 소액 분할하고, 고위험군 거래소인 Byware.net 서비스에서 현금화하였다. 고위험군 거래소는 KYC 인증을 사용하지 않으므로 신원정보를 제공받을 수 없어 더 이상 수사가 불가능하다. 1.26 BTC은 NetWalker-Mailto Ransomware 그룹에게 송금하여 해당 UTXO를 추적할 수 없도록 서로의 자금을 혼합하였다. 최종적으로 P2P 거래소, 중앙화 거래소에서 현금화함에 따라, 본 연구에서 분석한 사기 그룹은 NetWalker-Mailto Ransomware 그룹과 연계되어있음을 알 수 있다.

SOBTCQ_2025_v25n1_105_8_f0002.png 이미지

(그림 11) 2.44 BTC Peelchain

이 외에도 3번 트랜잭션(0.87 BTC)과 5번 트랜잭션(0.51 BTC), 6번 트랜잭션(2.2 BTC)은 Kraken, Gee Exchange 등의 중앙화 거래소를 통해 현금화하였으므로, 송금한 마지막 트랜잭션의 지갑 주소를 수사 요청한다면 신원을 제공받을 수 있다. Kraken 거래소는 2018년 미국 정부가 규제한 거래소로, 시가 조작 및 불법자금세탁과 관련한 범죄 활동 가능성이 크게 나타나 일반 사용자가 사용 시 유의해야 한다. 4번 트랜잭션(0.28 BTC)은 (그림 12)와 같이 4장에서 설명한 Miscellaneous 패턴으로 분산 및 혼합되었으며, 모든 자금은 Binance 거래소에서 현금화되었다. 해당 트랜잭션은 블록 탐색기에서는 자금세탁을 수행하는 특징을 발견할 수 없으나 자금 추적 도구(reactor) 상에서 분석하였을 때 모든 트랜잭션이 같은 소유권을 가진 트랜잭션임을 확인할 수 있다.

SOBTCQ_2025_v25n1_105_8_f0003.png 이미지

(그림 12) Miscellaneous Pattern after 0.28BTC

5.2 현재 수사 중인 불법 행위자의 자금세탁 기법 분석

(그림 13)의 Reported Address는 Stolen funds를 보유하고 있는 것이 확인되었고, 자금출처에 대한 수사를 진행 중인 지갑으로 Reactor 상에서 Contact Chainalysis로 라벨링 되어있는 지갑이다. 해당 지갑의 자금은 UTXO source를 분석했을 때, Mixer 서비스를 통해 자금세탁 후 출금하는 과정에서 불법 자금세탁으로 수사 중인 Malicious Group인 것으로 확인하였다. 5.1에서 분석한 사건과 다르게, Reported Address를 중심으로 이미 세탁한 금액에 대하여 이중 세탁 및 현금화 서비스를 통해 목표 금액을 출금하는 일련의 과정이 진행된다. 이중 세탁의 경우, 자금 은닉 기법 트랜잭션에 비해 단기간에 현금화하기 위한 트랜잭션 기법이 중심으로 나타난다.

SOBTCQ_2025_v25n1_105_9_f0001.png 이미지

(그림 13) Analysis of Currently under Investigation Cases Labeled as Contact Chainalysis

Malicious group은 자금세탁 성공률에 따라 현금화가 가능한 서비스를 대상으로 UTXO source를 은닉하기 위한 분산 기법(UTXO division)을 통해 분배하였다. 분산된 UTXO 중 하나는 수수료가 높지만 안전하게 세탁할 수 있는 크로스 체인 브릿지를 사용해 큰 금액을 세탁하였고, 비교적 적은 금액으로 분할한 UTXO는 여러 불법 자금을 결합하는 Coinjoin, 자금을 소액으로 분할하여 현금화하는 Peelchain 기법을 UTXO source를 은닉하기 위한 기법으로 사용하였다. 은닉 기법이 적용되면 여러 불법 자금의 UTXO를 혼합하게 되어 명확한 출금지를 알 수 없으나, 타겟한 UTXO가 포함된 트랜잭션을 추적하는 것은 가능하다. 크로스 체인 브릿지를 사용하여 세탁하는 것이 비교적 안전하지만, 높은 수수료뿐만 아니라 수사기법의 발전으로 인해 동결되었을 경우 모든 불법 금액이 동결되지 않도록 분산 작업을 수행한다. 이 작업은 현금화하는 과정에서도 나타나는 것을 확인하였다. Peelchain 기법을 통한 분산 작업을 통해 여러 거래소 및 믹서를 대상으로 현금화를 시도하였으며, 시도한 거래소 중에는 2024년 3월에 불법 거래 중개로 인해 제재된 거래소(sanctioned exchange)와 거래한 트랜잭션이 존재한다. 거래소는 설립된 국가의 AML(Anti-Money Laundering) 법에 따른 KYC 인증을 수행하지만[13], 국가마다 시행하는 신원 인증 정도의 차이로 인해 비교적 쉽게 인증 가능한 거래소가 존재한다. 따라서, KYC 인증의 정도가 강할수록 중앙 감사를 피하기 위한 소액거래 및 복잡한 자금은닉 기법이 사용된다.

(그림 14)에 나타난 거래 그래프와 같이, 불법 자금을 세탁할 수 있는 믹서와 같은 서비스에서는 중앙 감시를 피하기 위해 약 10BTC를 넘지 않는 소액의 거래가 진행되고, 입금 시에 일정한 금액으로 분할함으로써 불법 자금의 특징을 은닉한다. 해당 Malicious group의 거래는 2023년 11월부터 12월 사이에 단기간으로 진행됨으로써, 해당 Group은 이중 세탁으로 인해 불법 자금을 식별할 수 있는 증거가 크지 않아 빠르게 현금화를 진행한 것으로 확인하였다.

SOBTCQ_2025_v25n1_105_10_f0001.png 이미지

(그림 14) Transfer Graph Showing ChipMixer' Deposits and Withdrawls (Deposits are Green, Withdrawls are Red)

5.3 논의 및 고찰

본 추적 과정(그림 9)에서 발생하는 자금세탁 패턴을 분석하고, 사용한 자금세탁 서비스를 빨간색으로 표시하였다. 분석 결과 합법적인 거래에서는 UTXO 분산을 최소화하고, 잔액 발생 시 본인의 주소를 재사용함으로써 익명성 정도와 상관없이 거래 수수료 절감에 초점을 맞춘다. 그러나 범죄 지갑에서는 수수료와 관계없이 익명성을 강화하기 위해 다중 지갑을 생성하고, UTXO 분산 및 결합 트랜잭션을 연쇄적으로 발생시켜 소유자를 추정하기 어렵게 한다는 특징을 가진다. 분석 사례에서는 모든 범죄 수익이 자금세탁 및 현금화 서비스로 전송되었으며, PeelChain 패턴으로 자금을 분산시키고 본 연구에서 제안한 Miscellaneous 패턴을 사용하여 현금화에 사용한 것으로 나타났다. 이중 세탁을 진행하는 (그림 13)의 경우, 자금의 출처가 믹서에서 들어오기 때문에, 믹서 이전의 출처에 대해 추적하기 힘든 점을 이용하여 빠른 현금화에 치중한 트랜잭션 기법이 나타나는 것을 확인하였다.

범죄조직은 단일 서비스를 대상으로 세탁 및 현금화할 시에 모든 금액동결 될 수 있으므로, 중앙화 거래소와 P2P 거래소, 믹서, 고위험군 거래소, 다크넷 마켓 등 다양한 방식으로 현금화를 시도한다. 범죄조직의 경험적 분석에 의해 범죄 성공률이 높은 거래소, 믹서에서는 자금세탁 패턴 없이 현금화를 진행하고, 일반적으로 수사의 의심을 피할 수 있는 서비스를 사용할 시에는 익명성을 강화하는 자금세탁 패턴을 사용함으로써 자금의 출처를 은닉하고자 한다. 현재 공개된 블록 탐색기에서는 이러한 자금세탁 및 현금화 트랜잭션의 의도를 파악할 수 없지만, 전문 암호화폐 기관이 제공하는 분석 도구는 그래프상에서 간접적인 트랜잭션 패턴 분석이 가능하므로 불법 자금의 세탁 및 현금화 서비스의 연관성을 파악하기에 유리하다. 수사 과정에서 발견된 불법 자금이 중앙화 거래소와 P2P 거래소를 통해 현금화된다면, 해당 서비스들은 각각 KYC 인증과 플랫폼 모니터링[1, 9]을 통해 거래를 관리하므로 거래소와 관련된 입출금 트랜잭션에 대하여 수사 지원을 요청할 수 있다. 그러나 대부분의 믹서 서비스는 미국의 금융 범죄 단속 네트워크(FinCEN)를 따르지 않고 있으며, 고위험군 거래소, 다크넷 마켓 등은 보고 및 기록 유지를 시행하지 않으므로 이에 대한 트랜잭션 수사에 한계가 존재한다.

6. 결론

암호화폐는 익명성 보장 및 법적 규제 미비로 인해 불법 거래 및 자금세탁 관련 동향이 빠르게 변하고 있다. 동향 변화에 따라 피해를 최소화하기 위해서는 피해 주체를 파악하고, 자금의 목적지를 추적하여 불법적으로 흐르는 자금을 동결한 후 회수하는 것이 중요하다. 이에 따라 머신러닝을 이용한 자금세탁 탐지기법, 익명성을 강화하는 자금세탁 트랜잭션 기법 분석 연구 등이 진행되었다. 그러나 대부분의 연구는 누구나 접근 가능한 블록 탐색기 상에서 수집한 단조로운 데이터를 기반으로 하였으며, 이는 실측자료 미비, 경험적 분석에 의한 정확도 문제 등을 해결할 수 없다. 이러한 문제를 보완하기 위해 본 연구에서는 암호화폐 추적의 대표적인 기업 체이널리시스가 제공하는 분석 도구 Reactor를 활용하여 기 제안된 패턴에 대한 실증 분석 및 복합적인 패턴 분석과 새롭게 나타나는 자금 세탁 패턴을 제안하고, 수사 가능성이 있는 트랜잭션을 분석함으로써 트랜잭션 분석정확도 향상 및 자금세탁 패턴 연구에 도움이 되기를 기대한다.

References

  1. Chainalysis team, "The 2024 Crypto Crime Report", Chainalysis, 2024.
  2. Y.N. Gong, K.P. Chow, S.M. Yiu, H.F. Ting, "Analyzing the peeling chain patterns on the Bitcoin blockchain", in Proceedings of the Third Annual DFRWS APAC, 2023.
  3. M. Weber, G. Domeniconi, J. Chen, D.K.I.Weidele, C. Bellei, T. Robinson, C. E. Leiserson, "AntiMoney Laundering in Bitcoin: Experimenting with Graph Convolutional Networks for Financial Forensics", in Proceeding of the 25th SIGKDD Conference on Knowledge Discovery and Data Mining, 2019.
  4. Kraken, What is a Bitcoin unspent transaction output (UTXO)?, Available: https://www.kraken.com /learn/what-is-bitcoin-unspent-transaction-output-utxo, 2024.11.19. confirmed.
  5. Blockchain.com, What are change addresses and how do they work?, Available: https://support.blockchain.com/hc/en-us/articles/441708239 2724-What-are-change-addresses-and-howdo-they-work, 2024.11.19. confirmed.
  6. W. Ou, S. Huang, J. Zheng, Q. Zhang, G. Zeng, W. Han, "An overview on cross-chain: Mechanism, platforms, challenges and advances", Computer Networks 218, 2022.
  7. Hye-young Shin, Hong-taek Joo, "A study on Transaction Tracking and Analysis through Bitcoin Transaction Data", Master' Thesis, Keimyung University, 2021.
  8. J. Lorenz, M.I. Silva, D. Aparicio, J.T. Asceensao, P. Bizarro, "Machine learning methods to detect money laundering in the bitcoin blockchain in the presence of label scarcity", in ICAIF '20: Proceedings of the First ACM International Conference on AI in Finance, 2020.
  9. AMLBot, "Stablecoin Report: USDT and USDC Illicit Activity Study", Available: https://blog.amlbot.com/stablecoin-report-usdt-and-usdc-illicit-activitystudy/, 2024.11.19. confirmed.
  10. coinbase, What is a Bitcoin mixer?, Available: https://www.coinbase.com/learn/your-crypto/what-is-abitcoin-mixer, 2024.11.19. confirmed.
  11. R.R. Navarro, "Preventative fraud measures for cry ptocurrency exchanges: Mitigating the risk of cry ptocurrency scams", Utica College ProQuest Dissertations and Theses, 2019.
  12. BitMEX, The OG Crypto Derivatives Exchange, Available : https://www.bitmex.com/, 2024.11.19. confirmed.
  13. Suzana M. B. M. Moreno, Jean-Marc Seigneur, Gueorgui Gotzev, "A Survey of KYC/AML for Cryptocurrencies Transactions", in Handbook of Research on Cyber Crime and Information Privacy, IGI Global, pp. 21-42, 2021.