블록체인 데이터 분석기업 체이널리시스는 '2023 가상자산 범죄 보고서'의 일부인 자금세탁(Money Laundering) 관련 보고서를 27일 발표했다. 보고서는 ▲자금세탁 동향 ▲대중에게 낯선 지하경제 자금세탁 서비스의 부상 ▲블록체인 내에서 가상자산 범죄자들이 여전히 보유하고 있는 자금에 대한 분석을 포함하고 있다.

이번 보고서를 통해 가상자산을 이용한 자금 세탁의 본거지는 예상보다 작고, 밀집돼 있는 것으로 나타났다. 2022년 총 11억 달러(1조3535억 원)의 불법 자금을 송급 받은 예금 주소는 4개에 불과하며, 21개의 예금 주소가 랜섬웨어에서 오프램프(Off Ramp)로 전송되는 전체 자금의 50%를 차지했다.

또한, 가상자산 거래내역을 감추고자 하는 목적으로 개발된 기술인 믹서(Mixer)의 전체적인 사용량이 줄어들었다. 이는 '블렌더'와 '토네이도 캐시'같은 널리 알려진 믹서 서비스를 향한 법적 조치로 인한 결과로 보이지만, 불법적인 믹서의 사용량은 사상 최고치에 달했다. 2022년 믹서를 통해 처리된 자금은 총 78억 달러(9조 6018억 원)에 달했으며, 이 중 24%는 불법 주소에서 수신한 자금이다. 2021년에는 115억 달러(14조 1565억 원)이 믹서를 통해 처리됐으며, 이 중 10%만 불법 주소에서 유입됐다.

현재 지하경제 자금세탁 서비스는 증가하는 추세다. 이러한 서비스는 일반적으로 개인 메시지 어플이나 토르 브라우저(Tor Browser)를 통해서만 접근 가능하며, 주로 다크넷 포럼에서 광고되고 있다. 이는 체이널리시스의 작년 보고서에 언급된 OTC(Over the counter) 브로커들과 비슷하지만, 다양한 브랜드 이름과 맞춤형 인프라 등 복잡성 측면에서 차이점이 있다. 어떤 서비스는 개인 지갑의 네트워크처럼 단순한 반면, 어떤 서비스는 즉시 거래소나 믹서처럼 사용 가능하다.

2022 가상자산 자금세탁 활동 요약

가상자산을 통한 자금 세탁에는 일반적으로 ▲중개 서비스 및 지갑 ▲피아트 오프 램프(Fiat off-ramps) 두 가지 유형의 온체인 엔티티 및 서비스가 포함된다. 먼저, 중개 서비스 및 지갑에는 ▲호스팅 되지 않은 개인 지갑 ▲믹서 ▲다크넷 시장 및 기타 합법 및 불법 서비스가 포함될 수 있다. 가상자산 범죄자는 일반적으로 이러한 서비스를 사용해 일시적인 자금 보유, 자금 이동 난독화 또는 자산 간 교환을 수행한다. 가상자산를 명목화폐로 교환하는 피아트 오프 램프의 경우, 자금이 믹서 서비스로 흘러가면 블록체인 분석을 통한 자금 흐름 추적이 불가능해지기 때문에 자금 세탁 프로세스에서 가장 중요한 부분이다. 또한, 자금이 현금으로 전환되면 전통적인 금융 조사 방법을 통해서만 추적할 수 있다. 

2022년 대다수의 불법 자금을 입금 받은 4개의 거래소 입금 주소

가상자산 자금 세탁의 목표는 자금을 범죄 출처를 찾을 수 없는 주소로 옮긴 후, 가상자산을 현금으로 교환할 수 있는 서비스로 다시 이동시키는 것이다. 체이널리시스의 지난 분석에 따르면, 이러한 자금 세탁에 사용되는 믹서 서비스는 몇 가지에 한정돼 있고, 해당 서비스 내에서도 적은 수의 입금 주소에 집중돼 있다.

전체적으로 불법 주소에서 이동된 가상자산은 약 238억 달러(29조 2811억) 상당으로 나타났다. 이는 2021년에 비해 68% 증가한 수치다. 대부분의 중앙 집중식 거래소가 불법 가상자산의 가장 큰 수신자였으며 불법 주소에서 보낸 모든 자금의 절반에 조금 못 미쳤다. 거래소는 불법 가상자산을 현금으로 전환할 수 있는 피아트 오프 램프이기 때문에 주목할 만하다. 

2022년은 그 어느 때보다 많은 불법 자금이 디파이(DeFi) 프로토콜로 전송됐으며, 이는 2020년에 시작된 추세의 연장으로 분석됐다. 디파이는 중앙 집중식 서비스와 달리 모든 활동이 온체인에 기록된다. 또한, 디파이 프로토콜은 가상자산을 법정화폐로 전환하는 것을 허용하지 않아 대부분의 자금은 법정화폐 오프램프를 포함한 다른 서비스로 이동했을 가능성이 높다. 

자금세탁을 위한 디파이(DeFi) 프로토콜은 대부분 하나의 범죄 그룹 해커에 의해 수행됐다. 다크넷 마켓, 랜섬웨어 등의 범죄 활동을 통해 훔친 가상자산을 보유한 해커는 자금 대부분을 디파이 프로토콜로 보낸 유일한 집단이었고, 이는 디파이 해킹 비중의 57%를 차지했다. 2022년은 해커가 훔친 자금이 엄청난 해였고, 사이버 범죄자들이 자금세탁으로 디파이 프로토콜을 사용해 거의 단독으로 전반적인 증가를 주도할 수 있었다. 

또한, 디파이 프로토콜 자체가 2022년 가장 큰 해킹 대상이었다는 점도 수치에 영향을 미쳤다. 디파이 해킹을 통해 공격자가 탈취한 토큰은 다른 거래소에 상장돼 있지 않은 경우가 많다. 이 때문에 탈중앙화 거래소(DEX)를 사용해 훔친 가상자산을 더 많은 유동 암호화 자산으로 교환해야 한다. DEX는 자금을 이더리움으로 전환하는 데 사용돼 이더리움 기반 믹서로 보낼 수 있다. 주로 DEX는 가치를 보유할 가능성이 더 높은 자산으로 변환하거나 스테이블코인의 경우 스테이블코인 발행자가 동결할 수 없는 자산으로 스왑(swap)하는 데 사용된다. 그러나 DEX에서는 자금을 가상자산에서 명목화폐로 전환할 수 없어, 중앙 집중식 거래소(CEX)를 통하거나 기타 피아트 오프 램프를 통해 수행된다.

해커를 제외한 가상자산 범죄자는 대부분의 자금을 CEX로 직접 보내는 것으로 나타났지만, 몇 가지 예외가 있었다. 예를 들어, 다크넷 시장 공급업체 및 관리자는 대부분의 자금을 다른 불법 서비스로 전송하기도 했다. 주로 다른 다크넷 시장과 폐쇄된 하이드라 마켓 등이었다. 이들 중 일부는 현재와 유사한 자금 세탁 서비스를 제공하고 있다.

또한, 다크넷 시장 주소는 최근 돈세탁 활동으로 인해 국제 법 집행 조치로 폐쇄된 러시아 기반 거래소 비츠라토(Bitzlato)와 같은 고위험 거래소에 많은 자금을 전송했다. 랜섬웨어 공격자와 관련된 주소는 믹서에 불균형적으로 많은 자금을 보내는 등 불법 서비스를 많이 사용한 것으로 드러났다. 사기 범죄 벤더 및 관리자는 대형 믹서를 사용하는 것으로 알려져 있다.

전체적으로 불법 주소에서 보낸 자금의 절반 이상이 주류 거래소 또는 고위험 거래소를 모두 포함한 CEX로 직접 이동한 것으로 나타났다. 불법 자금의 40% 이상이 믹서 및 불법 서비스와 같은 중개 서비스로 이동하며 자금 대부분은 랜섬웨어, 다크넷 시장 및 해커 주소에서 나왔지만, 거래소의 규정 준수 팀이 조치를 취하지 않는 한 법정 화폐로 교환될 수 있다는 점도 밝혀졌다. 

2022년 전체 믹서 사용량은 감소했지만 불법 사용량은 사상 최고치를 기록했다. 지난 해 믹서는 불법 주소에서 전송된 전체 자금의 8%를 차지했다. 믹서는 여러 사용자로부터 가상자산을 가져와 혼합하고 각 사용자에게 그들이 넣은 것과 동일한 금액을 보내는 방식으로 작동해 특별한 블록체인 분석 기술을 사용하지 않는 한 원래 소스가 아닌 믹서로만 역추적할 수 있다.

보고서에 따르면, 믹서는 2022년에 총 78억 달러(9조 5885억 원)의 자금을 처리했으며 그 중 24%는 불법 주소에서 나왔다. 2021년에는 115억 달러(14조 1335억 원)를 처리했으며 그 중 10%가 불법 주소에서 들어온 것으로 확인됐다. 데이터에 따르면, 합법적인 사용자는 믹서 사용을 줄였고 범죄자는 지속적으로 사용했다.

믹서가 처리하는 불법 가치의 대부분은 도난 자금으로 구성됐으며, 그 중 대부분은 비협조 관할권인 북한과 연계된 해커에 의해 도난당했다. 다른 제재 대상 기업과 다크넷 시장도 2022년 믹서가 전송 받은 자금의 상당 부분을 차지했다.

피아트 오프 램프에서 돈세탁 집중되는 현상

거래소와 같은 피아트 오프 램프 서비스는 범죄자들이 가상자산을 현금으로 전환할 수 있는 장치이기 때문에 자금세탁에서 중요하게 여겨지며, 범죄자들의 궁극적 목표일 가능성이 높다. 다만, 피아트 오프 램프는 가장 엄격하게 규제되는 암호 화폐 서비스 중 하나로, 규정 준수 팀은 들어오는 불법 자금을 표시하고 현금으로 교환되는 것을 방지하는 데 중요한 역할을 한다. 

법정화폐 피아트 오프램핑(off-ramping)을 제공하는 수천 개의 가상자산 서비스가 있지만 그중 소수만 온체인에서 관찰되는 불법 자금 거래에 연관돼 있다. 2021년 1124개였던 수치는 2022년 915개의 고유한 법정화폐 오프램핑 서비스가 불법 가상자산 전송 받은 것으로 나타났다. 감소세의 일부 원인은 가상자산 약세장으로 인해 폐업한 거래소일 가능성이 높다. 거래소에서 받은 불법 자금 중 67.9%는 중앙 집중식 거래소인 5개 서비스에만 사용됐다. 이는 2021년 같은 상황에서 56.7%의 송금이 진행된 것을 감안하면 상위 거래소에 집중도가 높아진 것을 보여준다.

개인적인 교환 사용자가 이러한 상황을 설명할 수 있다면, 피아트 오프 램프에 송금하는 많은 범죄자들이 그들 자신이 통제하는 서비스의 계정을 사용하고 있다고 추측할 수 있다. 그러나 어떤 경우에는 범죄자들은 계좌를 통제해두고, 가상자산이 거래소에 도착하면 현금으로 전환하도록 돕는 전문 자금 세탁 서비스 제공업체와 협력한다.

이는 중첩 서비스 범주에 속하는데, 대규모 거래소 위에 구축된 서비스로 해당 거래소의 예금 주소를 사용해 유동성 및 거래에 접근할 수 있다. 또한 대부분의 중첩된 서비스는 합법적인 비즈니즈다. 예를 들어, 많은 저명한 장외(OTC) 중개인은 중첩된 서비스로 운영되기도 한다. 온체인 데이터에 따르면 소수의 중첩된 서비스 그룹이 부주의 또는 가상자산 범죄자에 대한 의도적인 수용으로 인해 자금 세탁을 용이하게 하는 것으로 나타났다.

이러한 이유로 대부분의 자금 세탁 활동을 설명하는 특정 서비스 입금 주소를 분석하는 것은 유용하다. 일반적으로 주어진 입금 주소의 활동이 해당 입금 주소에 계정이 연결된 서비스 사용자에게 귀속될 수 있기 때문이다. 

2022년에 불법 자금을 받은 모든 오프 램프 서비스 입금 주소를 확인해, 받은 불법 자금의 가치 ​​범위에 따라 분류한 그래프를 보면, 대부분의 가상자산 자금 세탁이 매우 소수의 사람들에 의해 일어나고 있음을 보여준다. 2022년 불법 가상자산은 4개의 입금 주소에서 1억 달러(1229억 원)를 크랙해 총 11억 달러(1조 3519억 원)를 송금 받았으며, 100달러 미만(12만 2900원) 송금 규모의 120만 개 입금 주소는 총 3800만 달러(467억 200만 원)를 차지했다.

2022년 피아트 오프 램프 서비스로 받은 63억 달러(7조 7427억 원)의 불법 자금 중 51%가 542개의 예금 주소 그룹으로 이동했다. 이러한 수치는 2022년 서비스 수준에서 약간의 집중도가 상승했음에도 2021년에 보았던 것보다 예금 주소 수준에서 자금 세탁 집중도가 더 낮음을 나타낸다. 이를 설명할 수 있는 이유 중 하나는 비츠라토 거래소 폐쇄와 같은 암호 화폐 세탁업자에 대한 지속적인 법 집행 단속이다. 이는 규모가 큰 자금 세탁 서비스 제공 업체를 압박하고, 더 많은 예금 주소로 운영을 확산하도록 장려했다.

또한, 범죄 유형에 따라 돈세탁 집중 정도의 차이가 크다는 것을 알 수 있다. 단 21개의 입금 주소가 랜섬웨어에서 피아트 오프램프로 전송된 모든 자금의 50%를 차지하며, 다크넷 시장에서 받은 자금의 상위 21개 입금 주소는 18%에 불과하다.

전반적인 집중도가 낮아졌음에도 83개 거래소의 542개 예금 주소로 이동하는 불법 자금은 51%로, 여전히 높은 수준의 자금세탁 집중도를 보여준다. 법 집행 및 규정 준수 팀이 해당 주소 뒤에 있는 개인과 그룹을 저지할 수 있다면, 범죄자가 대규모로 가상자산을 세탁하는 것이 훨씬 더 어려워지고 가상자산 생태계를 더 안전하게 만드는 데 큰 도움이 될 수 있다.

지하 자금 세탁 서비스에 대한 우려는 커지고 있다. 일반적으로 개인 메시징 앱이나 토르 브라우저를 통해서만 액세스할 수 있고 대부분 다크넷에서 광고되기 때문에 잘 알려지지 않은 지하 서비스의 성장이 예상되기 때문이다. 

과거 많은 양의 불법 자금을 세탁하는 거래소에 중첩된 OTC 중개인에 대한 크립토 크라임(Crypto Crime) 보고서에 따르면, 이 중 상당수는 명시적으로 사이버 범죄자를 대상으로 하는 것으로 추측됐다. 이 활동은 여전히 ​​존재하지만 복잡성 측면에서 다양한 브랜드 이름과 사용자 지정 인프라를 사용하는 서비스의 증가도 포함한다. 일부는 단순히 개인 지갑의 네트워크로 기능하는 반면 다른 것들은 인스턴트 교환기 또는 믹서와 더 유사하다. 일반적으로 이들을 연결하는 것은 대부분 사이버 범죄자를 대신해 가상자산을 거래소로 옮기고 법정화폐 또는 혐의 없는 가상자산으로 교환한 다음 다시 가상자산으로 보내는 행위다.

그래프에서 한 가지 예시를 볼 수 있지만 진행 중인 조사로 인해 관련 불법 조직의 이름이 수정됐다. 이 경우 믹서와 유사한 기능을 하는 지하 세탁 서비스는 유명한 랜섬웨어 변종의 계열사가 대규모 중앙 집중식 거래소의 입금 주소로 자금을 이동하도록 도왔다. 입금 주소는 세탁 서비스 자체에 의해 통제되는 것으로 보였다.

지하에서 일어나는 불법 자금 세탁 행위는 퍼블릭 블록체인의 활동만큼 쉽게 발견하기 어렵다. 불법 서비스 주소를 식별하려면 광범위한 조사 작업이 필요하고, 거래를 풀려면 디믹싱과 같은 고급 블록체인 분석 기술이 필요하기 때문이다. 이러한 서비스의 활동 대규모 분석 또한 어렵다. 그러나 ▲불법 서비스로부터 대량의 가상자산을 받은 경우 ▲거래소 및 기타 피아트 오프램프에 대량의 가상자산 전송과 같은 몇 가지 기준을 충족하는 모든 지갑 및 지갑 네트워크의 활동을 분석하면 해당 활동을 추정할 수는 있다.

기준에 맞는 지갑으로 이동하는 총 가상자산은 지난 몇 년 동안 성장했으며 2022년에는 60억 달러에 도달한 것으로 추정된다. 분석에 포함된 모든 지갑이 반드시 지하 세탁 서비스라고 단정할 수는 없지만, 그들의 온체인 활동은 가능성을 시사한다. 가란텍스(Garantex) 및 비츠라토와 같이 불법 활동을 촉진했던 고위험 거래소가 법 집행 기관의 압력에 직면함에 따라 지하 자금 세탁 서비스의 사용이 증가할 가능성도 있다.

2022년에 범죄 잔액 감소가 시사하는 것

범죄자들은 ​​개인 지갑이나 범죄 서비스와 관련된 지갑에 자금을 장기간 보관하기도 한다. 경우에 따라 자신의 범죄가 이목을 끌어 수사관이나 업계 관찰자의 소명 없이 자금을 이동하는 것이 불가능하다고 판단하기 때문이다. 다른 경우에는 가격 상승을 기대하며 가상자산을 보유하거나 다른 범죄 행위에 계속 사용하려는 의도가 있을 수 있다.

블록체인은 모든 거래가 투명하게 기록되기 때문에 범죄 잔고를 세밀하게 추적하고, 확인된 불법 단체가 주어진 시간에 얼마나 많은 자금을 보유하고 있는지 알 수 있다. 

2022년 범죄 잔액의 변화로 주목할 부분은 범죄 잔고가 2021년 말 120억 달러(14조 7420억 원)에서 29억 달러(3조 5626억 원)로 2022년에 급감했다는 것이다. 이는 가상자산 약세장으로 인한 가격 하락과 2022년 법 집행 기관의 성공적인 압류가 가장 큰 원인일 것으로 추측된다.

또한, 도난당한 자금이 온체인 범죄 잔액을 지배하고 있음을 알 수 있다. 지난 2년 동안 해킹으로 도난당한 가상자산의 양이 급증했다. 이러한 해킹은 종종 가상자산 정보를 공유하는 트위터 계정 및 기타 업계 포럼에서 큰 토론의 대상이 되며, 많은 사람들이 자금을 공개적으로 추적하고 공유하기 때문일 수 있다. 도난당한 자금을 보유한 주소가 알려지며 해커가 훔친 자금을 피아트 오프 램프로 옮기는 것이 어려워져 자금을 개인 지갑에 남겨두기로 선택했을 가능성이 있다.

또한, 범죄 잔액은 잠재적으로 법 집행 기관에 의해 압수될 수 있는 가상자산의 하한 추정치를 나타내므로 추적 가치가 있다. 범죄 잔액의 실제 수치는 귀속되지 못한 주소와 관련된 자금을 포함하기 때문에 훨씬 더 높을 가능성이 크다. 오프라인 범죄 활동에서 파생돼 사후에 가상자산으로 전환된 범죄 단체 및 자금도 남아있다.

수사 기관은 2022년에도 불법과 관련된 가상자산을 압수하는 능력을 계속 강화해 왔으며, IRS 범죄 수사대는 작년에 70억 달러 상당의 디지털 자산을 압수했다고 발표하기도 했다. 이는 2021년에 압수한 금액의 두 배 이상이다. 범죄 잔고에 대한 데이터는 성공적인 압수가 가능한 더 많은 기회가 있음을 시사하며, 가상자산과 명목 화폐의 금융 조사 사이의 중요한 차이점을 보여준다.