디센터 Decenter

인터넷 메신저 텔레그램에서 미성년자 등의 성 착취물을 제작·유포하고 협박한 혐의를 받는 ‘박사방’ 운영자 조주빈(25)이 25일 오전 서울 종로경찰서에서 검찰에 송치되고 있다. ‘성폭력범죄의 처벌 등에 관한 특례법’에 따라 피의자의 신상이 공개된 것은 조주빈이 첫 사례다./서울경제 오승현기자 2020.03.25

텔레그램 ‘박사방’ 운영자 조주빈이 암호화폐에 관한 전문 지식을 갖췄거나 조주빈에게 전문성을 갖춘 조력자가 있을 것이란 주장이 제기되고 있다. △암호화폐를 여러 개의 지갑으로 흩뿌렸다가 합치는 ‘믹싱앤텀블러’ 기법으로 추적을 피한 점 △비트코인보다 추적이 어려운 ‘다크코인’ 모네로를 쓴 점 등이 그 근거다.

하지만 암호화폐 전문가들은 조주빈의 행위에 암호화폐 전문 지식이 필요한 것은 아니라고 입을 모았다. 모네로 등 다크코인은 추적이 어려운 것으로 이미 잘 알려졌으며, 믹싱앤텀블러 기법을 쓰는 것도 그다지 어렵지 않다는 지적이다. 암호화폐 구매 대행업체 이용을 권장함으로써 모네로의 익명성마저 ‘필요 없게’ 만드는 허점도 보였다. 조주빈이 암호화폐에 관한 전문 지식을 갖춘 것은 아니며, 조력자가 있다고 하더라도 조력자 역시 전문가 수준은 아니라는 의견이 나온다.

해커가 자주 이용하는 암호화폐 ‘믹싱’, 5분이면 한다

믹싱앤텀블러 기법은 암호화폐를 전송할 때 송금할 지갑으로 바로 보내지 않고, 여러 개의 지갑으로 쪼갰다가 합쳐서 보내는 방식을 말한다. 암호화폐 전송내역은 블록체인 상에서 모두 확인할 수 있지만, 자금을 수천 개의 지갑으로 쪼개면서 전송하면 확인이 힘들다. 쪼개고 합치는 과정에서 다른 지갑의 자금과 섞일 수 있기 때문에 자금의 원천을 추적하는 것도 어렵다. 해당 기법이 자금 세탁에 주로 쓰이는 이유다. 조주빈은 박사방 가입비를 암호화폐로 받은 뒤 믹싱앤텀블러 기법으로 자금을 세탁해 추적을 피했다.

관련기사

추적을 어렵게 만들었다고 해서 전문가들만 믹싱앤텀블러 기법을 쓸 수 있는 건 아니다. 믹싱 과정이 얼마나 쉬운지 확인하기 위해 기자는 소액의 이더리움(ETH)을 동료 기자의 개인 지갑으로 ‘믹싱’해 보냈다.

이더리움 믹서를 통해 동료 기자에게 이더리움을 보내는 화면. 0xf7~로 시작하는 주소에 이더리움을 보내고 시간 지연을 2시간으로 설정했다./출처=Eth-mixer 화면 캡처

이더리움을 보낼 동료 기자의 지갑 주소를 입력하자 ‘시간 지연(Time Delay)’을 직접 설정할 수 있었다. 몇 시간 뒤에 이더리움이 전송되게 할 것인지 스스로 정할 수 있다. 예를 들어 두 시간으로 설정하면 두 시간 동안 이더리움이 여러 지갑으로 쪼개지다가 다시 합쳐져서 상대방의 지갑으로 전송된다. 시간 지연을 두 시간으로 설정한 뒤 믹싱 프로그램이 정해준 임의의 지갑 주소로 이더리움을 전송했다. 임의의 지갑 주소로 송금한 이더리움이 설정한 시간 동안 쪼개지다가 상대방의 지갑으로 입금되는 방식이다. 이 모든 과정에는 5분이 채 걸리지 않았다.

믹싱 프로그램이 정해준 임의의 주소로 소액의 이더리움을 보냈다. 임의의 주소로 전송된 이더리움은 믹싱된 후 상대방의 지갑에 입금된다./출처=Eth-mixer 화면 캡처

기자가 11시 40분경 보낸 이더리움은 정확히 두 시간 후 동료 기자의 지갑으로 입금됐다. 동료 기자의 지갑 주소를 이더리움 블록 탐색기인 이더스캔에서 검색하자 입금 내역을 볼 수 있었다. 하지만 그 내역을 계속 거슬러 올라가도 입금의 원천은 찾을 수 없었다. 믹싱됐기 때문이다. 믹싱 프로그램은 개인 지갑을 이용하고 암호화폐 지갑 주소를 입력하는 등 암호화폐에 관한 기초적 지식만 있어도 이용할 수 있었다.

가스비(거래 수수료)를 제외한 이더리움이 동료 기자의 지갑으로 입금됐다. 보내는 이는 0x8D~로 시작되는 기자의 주소와 다르다. 믹싱됐기 때문이다./출처=Eth-mixer

믹싱앤텀블러 기법은 이미 언론에도 여러 번 등장했던 암호화폐 자금 세탁 방법이다. 지난해 암호화폐 업계를 떠들썩하게 만들었던 업비트 해킹 사건 때도 해커는 믹싱앤텀블러 기법을 이용해 자금을 세탁했으며, 당시 많은 언론을 통해 이 방법이 알려졌다. 전문가들만 아는 방법은 아니라는 이야기다.

정성동 파운데이션엑스 전략팀장은 “경찰의 추적을 피하기 위해 믹싱을 이용해야 한다는 사실은 뉴스에 수없이 등장한 기초 수준의 암호화폐 관련 지식”이라며 “믹싱도 자동화 프로그램을 쓰는 것이기 때문에 어렵지 않다”고 말했다.

추적 피하려 했는데 구매 대행업체 권유?…“모네로 대체 왜 썼나”

조주빈은 수사기관의 추적을 피할 목적으로 비트코인보다 익명성이 강화된 ‘다크코인’ 모네로(XMR)로 가입비를 받았다. 비트코인, 이더리움 등 일반 암호화폐는 블록체인 탐색기에 지갑 주소를 입력하면 해당 지갑의 거래 내역을 볼 수 있다. 반면 모네로는 지갑 주소를 입력해도 내역을 전혀 확인할 수 없다.

그런데 조주빈은 이런 모네로의 특징을 제대로 이용하지 못했다. 모네로는 암호화폐 거래소도 우회적으로 거래내역을 추적해야 할 만큼 익명성이 강한데도, 조주빈은 거래소보다 추적이 쉬운 암호화폐 구매 대행업체를 권장했다. 그는 암호화폐를 쓸 줄 모르는 사람들에게 구매 대행업체를 통해 모네로를 보내라고 권유하며 직접 업체를 추천하기까지 했다. 암호화폐에 대한 전문성이 떨어지는 부분이다.

대행업체에 구매를 요청할 땐 이름, 휴대폰 번호 등 개인정보는 물론 얼마어치 모네로를 누구에게, 어떤 목적으로 보내는지도 작성한다. 디센터가 제보받은 박사방 채팅 내역에 따르면 조주빈은 가입하려는 사람에게 구매 대행업체에 작성한 신청서 화면을 캡처하도록 요구함으로써 가입자의 신원을 확보했다. 이 신원은 당연히 대행업체의 데이터베이스에도 남는다. 구매 대행업체는 일반 거래소에 비해 이용자 수도 적기 때문에 모네로를 보냈더라도 박사방 가입자의 신원을 확보하기는 쉽다.

정성동 팀장은 “가입자들이 검거되면 자신에 관한 단서들이 발견될 텐데도 가입자들에게 추적 당하기 쉬운 방법을 알려줬다”며 “개인정보가 노출될 수밖에 없는 암호화폐 구매 대행업체, 거래소를 사용하라고 했다”고 강조했다. 이어 그는 “이런 근거들을 종합적으로 봤을 때 (조주빈의 행동은) 암호화폐에 높은 이해도를 가진 사람의 행동은 아니며, 전문가 수준의 조력자가 필요한 행위도 아니”라고 덧붙였다.
/박현영기자 hyun@decenter.kr