암호화폐 보안(3) — 대표적인 암호화폐 범죄유형과 범죄 예방법
안녕하세요, 리암입니다.
지난번에 우리가 블록체인, 암호화폐 공격 방법에 대하여 알아보았습니다.
오늘은 지난 시간에 알아본 공격을 통해 발생하는 범죄의 유형과 피해 사례 그리고 예방이 가능한지 알아보는 포스팅을 하려고 합니다.
지난 4월 ‘엑시 인피니티’를 탈취한 북한 해킹 그룹 ‘라자루스’가 173,600 이더리움과 2,550만 달러가 도난당했다. 총 피해액은 무려 7,400억원에 이른다. ‘라자루스’는 탈취한 가상자산 중 8600만달러(1058억) 이상을 암호화폐 믹서 ‘토네이도 캐시’로 전송하여 세탁을 했다고 합니다. 또한 2월에는 5조원대 비트코인을 다른 전자지갑으로 옮겨 세탁하려던 미국의 30개 부부가 붙잡히기도 했습니다.
우리가 지난 포스팅에서 알아본 다양한 공격 방식들을 이용하여 위와 같은 많은 암호화폐 해킹 사례가 발생했습니다. 이러한 피해 사례들은 어떤 방식으로 탈취가 되었고 세탁을 해서 특정한 지갑 계좌로 전송할 수 있었을까요? 일단, 다양한 암호화폐 범죄 유형 중에 대표 적인 세 가지부터 알아보겠습니다.
- 암호화폐 범죄 유형
1)스캠
스캠은 신용사기를 말하는 것으로 도박판에서 남을 속이는 행위를 말합니다. 암호화폐에서 스캠은 초급, 중급, 고급 스캠으로 나누기도 합니다.
- 초급 스캠 : 처음부터 사기를 목적으로 만든 스캠코인. 이들은 실현 불가능한 백서를 작성하고, 각종 홍보 글과 불법 ICO를 진행하여 막대한 투자금을 모은 뒤, 약속한 코인을 개발하지 않고 잠적합니다. 대표적인 사례로는 삼성코인이나 신일골드코인 등이 있습니다.
- 중급 스캠 : 사기를 목적으로 코인을 만들고 암호화폐 거래소에 상장한 후 잠적하는 코인. 이들은 정교한 수준의 백서를 작성하고, 실제 블록체인 개발자들을 고용하여 코인을 개발한 뒤, 이름 없는 암호화폐 거래소에 뒷돈을 주고 코인을 상장한 뒤, 자신이 가진 코인을 모두 매각하고 잠적하는 수법을 사용합니다. 대표적인 사례로 센트라코인 등이 있습니다.
- 고급 스캠 : 처음에는 원대한 포부를 안고 코인을 만들었으나, 시간이 지남에 따라 기술력 부족 등 다양한 원인으로 백서에 적힌 내용을 실제 구현하기 어렵다는 것을 깨닫고 개발을 포기한 코인을 말합니다.
2)러그풀(Rug pull)
러그풀은 가상화폐 시장에서 프로젝트 개발자가 프로젝트를 돌연 중단해 투자금을 가로채는 투자 회수 사기를 말합니다. 암호화폐와 탈중앙화 금융(DeFi) 시장에서는 유동성을 회수하는 행위로 결국 매도 악순환을 초래해 투자자들에게 막대한 손실을 입힐 수 있습니다.
주로 러그풀은 탈중앙화 거래소(DEX)에서 자주 쓰이는 방식인 데 이는 사용자들이 무료로 토큰을 상장할 수 있을 뿐 아니라 중앙화된 암호화폐 거래소와 달리 감사도 받지 않기 때문입니다.
우리나라에서는 도지코인의 밈 코인으로 화제가 된 진도지코인(JINDOGE) 개발자가 전체 물량의 15%에 달하는 진도지코인을 한꺼번에 매도하면서 가격이 97%나 폭락했던 사건을 예로 들 수 있습니다.
위에서 설명한 스캠은 코인 시장에서 많이 나온다면, 러그풀은 최근 핫한 NFT 거래에서 자주 나옵니다. NFT는 프로젝트 단위로 움직이기 때문에 민팅(NFT를 발행하는 것으로 그림, 영상 등의 디지털 자산의 NFT를 생성하는 것)을 하기 위해 사람들을 끌어모아야 하는데요, 사람들을 끌어모으는 과정에서 투자금을 모은 후 자신들이 보유한 NFT를 시장에 모두 팔아버리고 잠적하는 그룹들이 있습니다. 전형적인 사기꾼들이 시장 자체를 흐리고 있어 여러모로 주의를 해야 하는데요 주식이나 부동산은 제도권안에 있어 감시 기구가 있지만 코인이나 NFT는 아직까지 그런 부분이 미약합니다.
3)심 스와핑
심 스와핑(SIM Swapping)은 다른 사람의 휴대폰 유심칩을 복제해 은행이나 암호화폐 계좌를 손에 넣는 신종 해킹 수법입니다. 유심칩으로 불리는 가입자 식별 모듈(SIM) 카드는 각자의 고유 번호를 갖고 있어 카드만 꽂으면 휴대폰을 자신의 단말기처럼 사용할 수 있고 휴대폰 가입자 인증도 가능한 점을 악용합니다. 올해 초 국내에서도 최초 사례가 발견되었으며 아직까지 책임소재에 대한 공방이 진행되고 있습니다.
심 스와핑 공격 수행 방식은 국내의 경우 현재 경찰 수사가 진행 중이기 때문에 정확히 어떤 방식이 어떻게 쓰였는지 불확실합니다. 하지만 해외에서는 공격 방법이 일부 알려져 있습니다. 이미 다수의 서비스에서 유출된 정보, 소셜미디어 등에 노출된 일반적인 개인정보(이름, 생일, 전화번호, 이메일 등)를 조합하여 거의 완전한 개인 프로필을 만들고 통신사의 본인 확인 프로세스가 허술한 것을 이용해 유심을 재발급 받습니다. 이렇게 재발급 받는 유심을 통해 기존 사용자를 먹통으로 만들고 공격자가 권한을 차지하여 각종 인증을 진행하는 방식으로 자산 탈취가 이뤄졌습니다.
스마트폰에 악성코드를 설치해 계정 정보를 유출하는 해킹과 비교했을 때, 심 스와핑은 사용자의 통제 권한을 완전히 빼앗고, 5G 등 무선 네트워크는 물론 문자 메시지나 전화도 받을 수 있기 때문에 상대적으로 더 큰 피해를 일으킬 수 있습니다.
자 그러면 이제 어떤 방식으로 범죄가 발생하는지 이해가 되셨나요? 그렇다면 이렇게 모은 자금은 어떻게 범죄자들이 활용할까요?
사실 암호화폐는 프라이버시 이슈를 충족시키지 못하게 설계됐습니다. 블록체인은 위변조할 수 없는 모든 거래 내역을 누구나 볼 수 있도록 투명하게 공개함으로써 사용자가 그 결과 값을 신뢰할 수 있다는 개념에서 시작했기 때문이죠. 그래서 거래가 발생할 때 마다 모든 장부에 거래가 기록이 되므로 아주 쉽게 추적을 할 수 있습니다.(트랜잭션 분석이 수월하다고 말할 수 있죠. 어때요? 좀 전문적으로 보였나요 ‘ㅅ’) 그런데 누가 코인을 어디로 보내고, 코인이 보내진 주소와 같은 공개된 정보를 어느정도 숨길 수 있는 방법이 존재합니다(100%는 아닙니다) 그 방법은 코인 믹싱과, 코인 조인인데요! 자세히 알아보도록 하죠
2. 자금 세탁 방법
1)코인 믹싱
거래 내역을 숨기기 위해서 ‘믹싱앤텀블러(Mixing and Tumbler, 이하 믹싱)’라는 것이 있습니다. 예전 성착취 동영상 판매 사건으로 사회적 물의를 일으켰던 ‘박사’ 조주빈씨 사건에서도 대가로 받은 암호화폐의 추적을 피하고자 믹싱을 사용한 정황이 포착됐었습니다.
믹싱이란, 코인을 보내는 지갑 주소와 코인을 받는 주소 간의 연결을 끊기 위해 제 3자의 서비스를 이용합니다. 코인을 텀블링을 제공하는 서비스 제공자 텀블러에게 보내면 그들이 보유 중인 다른 코인들과 섞어서 지정한 지갑 주소로 별개의 코인을 전송하는 방식입니다.
이를 이용해 자금세탁에 악용하는 사례가 많은데 최근 전문적으로 믹싱된 지갑을 추적하는 보안 업체들도 등장하고 있고 자금세탁방지(AML) 의무와 국제자금세탁방지기구(FAFT) 권고안이 본격 시행되면 믹싱 서비스가 줄어들 것이라고 예상하고 있습니다.
주요 믹싱 서비스로는 로컬비트코인(LocalBitcoins), 비트코인믹스(bitcoinmix), 비트코인믹서(bitcoinmixer), 비트믹스닷비즈(bitmix.biz), 스마트믹스(smartmix), 와사비월릿(Wasabi Wallet) 등이 있습니다.
2)코인 조인
코인 조인은 비트코인 거래의 익명화 구현 방식입니다. 두 개의 트랜잭션이 하나로 결합되지만 입력과 출력은 변경되지 않는 방식입니다. 코인 조인은 다수 사용자의 입력 값을 단일 트랜잭션 안에서 조합하는 과정을 포함합니다. 그림으로 한번 같이 살펴볼까요?
트랜잭션의 익명성을 보장하고 싶어하는 네 명의 참여자가 있습니다. 이들은 자신들이 얻고자하는 입력 값과 출력 값을 알리기 위해 조율 과정을 거칩니다.
조율 과정은 자신들끼리 혹은 조율자를 선정하여 진행할 수 있습니다. 조율자는 모든 정보를 취합하여 하나의 트랜잭션 안에 넣고 각 참여자는 이를 네트워크에 전송하기 전 서명을 진행합니다. 사용자가 서명한 다음 트랜잭션이 유효한 것이 되지 않으면 트랜잭션을 수정할 수 없습니다. 그러므로 조율자가 해당 자금을 들고 자취를 감출 위험은 없습니다.
이렇게 만들어진 트랜잭션은 혼합된 코인의 블랙박스 역할을 합니다. 이 블랙박스를 통해 만들어진 결과물 UTXO의 유일한 연결 고리는 트랜잭션 뿐입니다. 아무도 여기서 이를 구분할 수 있는 사람은 없습니다. 기껏해야 한 참여자가 입력 값 중 하나를 제공한 것과 한 소유자가 어느 하나를 소유했다? 정도?만 말할 수 있을 것 같습니다. 이 트랜잭션을 보고 네 명의 참여자가 있다고 유추하긴 어렵습니다. 한 사람이 자신의 자금을 자신이 소유한 네 개의 주소로 전송한 것인지, 두 명이 각각 구매후 각 0.5BTC를 자신의 주소로 재전송한것인지… 아니면 네 사람이 새로운 사람에게 전송한건지, 자기에게 전송한건지? 특정할 수가 없습니다
이러한 암호화폐 보안 사기, 사고를 막기 위해서는 어떻게 해야 할까요?
기본적으로 높은 수익률을 보장한다는 암호화폐는 일단 의심해봐야 합니다. 높은 수익률을 담보로 할 사기일 가능성이 매우 높기 때문입니다. 사용자 측면에서는 보안 수칙을 잘 지켜야 합니다. 암호화폐의 특성상 거래가 이뤄지면 되돌릴 수 없기 때문에 지갑 접근을 위한 개인키 보호, 로그인 지역 제한, 2단계 인증 등 거래소에서 제공하는 보안 기능을 적극적으로 이용해야 합니다. 암호화폐 거래소의 경우 이상거래 탐지 시스템(FDS) 등을 고도화하고 Threat Intelligence와 같은 플랫폼을 통해 다크웹 등에 있는 계정 정보 유출이나 자산 유출 등 위협 요소를 탐지하고 추적하여 소비자를 보호해야 합니다.
자 이렇게 암호화폐 보안에 대해 3개의 포스팅에 걸쳐 알아봤습니다. 지금 글을 읽고 계시는 분들 중에서도 암호화폐 거래를 하고 계시는 분들이 많으실텐데 항상 보안에 유의하셔서 자산 손실을 입지 않으셨으면 좋겠습니다.
그럼 오늘의 포스팅은 여기까지 하고 다음에 다른 더 좋은 주제를 가지고 오겠습니다.
읽어주셔서 감사합니다.
암호화폐 보안(1) — 왜 암호화폐 지갑이라고 하나요?
암호화폐보안(2) — 암호화폐 공격 방법은 무엇이 있나요?
