IRS-CI, 블록체인 인텔리전스를 활용해 xDedic 마켓 폐쇄

‍

국세청 범죄수사국(IRS) 은 미국 내국세법 위반 및 관련 금융 범죄에 대한 수사를 담당합니다. 자금 세탁, 사이버 범죄, 세금 관련 범죄 등 다양한 연방법 위반과 관련된 '돈 추적'을 전문으로 합니다. 

2018년 그룹이 설립된 이래 IRS 전 세계에서 가장 큰 규모의 불법 암호화폐 사건을 대부분 처리했으며, 그 결과 현재까지 가장 큰 규모의 디지털 자산 압수 성과를 거두었습니다. IRS 미국 국내는 물론 국제 파트너와 협력하여 전 세계적으로 세금 범죄에 맞서 싸우는 데 중요한 역할을 계속하고 있습니다. 

xDedic 마켓플레이스의 부상

2014년경에 xDedic 마켓플레이스가 두각을 나타냈습니다. 이 다크넷 마켓플레이스는 전 세계의 컴퓨터 시스템에 손상된 원격 액세스 자격 증명을 판매하여 사이버 범죄자들이 금융 사기, 랜섬웨어, 갈취 등 개인과 조직의 삶에 온갖 종류의 혼란을 야기할 수 있도록 했습니다.

IRS 특수 요원인 저스틴 앨런은 "xDedic 마켓플레이스에는 미국에 15만 개, 플로리다에 8,000개를 포함해 전 세계 서버에 대한 70만 개 이상의 자격 증명이 등록되어 있었습니다."라고 말합니다. "가장 큰 피해자 중 하나는 미국의 공인회계사 회사였습니다." 

앨런은 위협 행위자들이 xDedic 마켓플레이스에서 훔친 인증 정보를 사용하여 CPA 회사의 고객 데이터에 액세스하고 고객의 세금 정보를 훔친 다음, 이듬해에 가짜 세금 신고서를 제출하여 거액의 사기 환급을 받아 위협 행위자들이 자신의 주머니를 채웠다고 설명합니다.

국제 협력이 xDedic의 종말을 가져온 방법

IRS 2016년 플로리다 주 탬파의 한 피해자가 도난당한 정보와 환급금에 대해 지역 공무원에게 알리면서 xDedic 사기에 대해 처음 알게 되었습니다. 앨런과 그의 팀은 연방 법 집행 기관 파트너와 함께 대응하여 유출된 디지털 아티팩트를 살펴본 결과, 수십만 명의 다른 사람들의 크리덴셜과 함께 해당 크리덴셜이 xDedic 마켓플레이스에서 판매되었다는 사실을 확인했습니다.

IRS 파트너들은 마켓플레이스와 관련된 가상자산 주소를 파악한 후 블록체인 인텔리전스 사용하여 관련 주소의 네트워크와 법적 절차를 분석하여 실제 주체를 파악했습니다. 그런 다음 서버 위치를 파악하고 국제 파트너와 협력하여 데이터를 압수함으로써 마켓플레이스를 사용하는 관리자와 공급업체에 대한 더 많은 정보를 확보할 수 있었습니다.

수사관들은 또한 xDedic 계정으로 이루어진 비밀 결제를 추적했습니다. 거기서부터 나가는 거래를 검토하여 인프라 지불, 공급업체 및 관리자를 식별했습니다. 벤더와 관리자에 대한 이러한 지불은 직접적으로 이루어지지 않았으며, 종종 어트리뷰션되지 않은 서비스나 믹서를 거치는 경우가 많았습니다. 따라서 조사관들은 블록체인 분석과 오픈 소스 인텔리전스를 결합하여 위협 행위자를 식별했습니다. 

‍

‍

"우리는 사이트를 사용하던 일부 관리자, 공급업체 및 개인을 포함하여 19명의 개인을 식별하고 기소했습니다."라고 Allen은 설명합니다. 

앨런과 그의 팀은 벨기에와 우크라이나의 법 집행 기관, 유럽 법 집행 기관인 유로폴, 네덜란드 경찰의 국립 하이테크 범죄 부서, 독일 연방수사국(Bundeskriminalamt)과도 긴밀히 협력했습니다. 이들의 지원으로 IRS 4개국에서 이러한 범죄에 연루된 개인을 체포하고 인도할 수 있었으며, 여기에는 9개월 동안 6,800만 달러가 넘는 미국 세금 환급을 요청하기 위해 xDedic Marketplace를 사용한 범죄 인도 대상자가 포함되어 있습니다.

xDedic을 추가 암호화 케이스에 연결하기

IRS 그 파트너들은 xDedic 마켓플레이스를 폐쇄하고 다수의 관리자와 공급업체를 체포했을 뿐만 아니라 관련 사이버 범죄자들의 가상자산 거래를 기반으로 여러 단서를 확보했습니다. 

예를 들어, 앨런은 xDedic에서 얻은 정보가 미국 내 2,400만 명 이상의 사회보장번호를 등록하고 판매한 SSNDOB 마켓플레이스의 관리자를 식별하는 데 도움이 되었다고 언급했습니다. IRS 파트너들의 끈질긴 노력 덕분에 SSNDOB 마켓플레이스를 다운시키고 사이트 관리자 중 한 명을 헝가리에서 인도할 수 있었습니다.

유출된 원격 액세스 자격 증명을 판매한 것 외에도 xDedic은 미국 시민을 대상으로 개인 식별 정보(PII)도 판매했습니다. 포렌식 분석 결과, 이는 SSNDOB 마켓플레이스의 API를 통해 이루어진 것으로 밝혀졌습니다. SSNDOB에 대한 추가 비밀 결제에 대한 블록체인 분석 결과 비트코인 결제 프로세서 및 중앙 집중식 거래소와의 거래가 밝혀졌습니다. 수사관들은 해당 위치에서 관리자의 신원을 파악할 수 있는 기록을 확보할 수 있었습니다.

xDedic 압수수색은 IRS 암호화폐 범죄 수사에 있어 큰 성공을 거두었습니다. 강력한 국제 협력과 블록체인 인텔리전스기반으로 한 이러한 블록체인 인텔리전스전 세계적으로 암호화폐 범죄와 싸우는 요원과 범죄 수사관들의 중요한 업무에 대한 증거이며, TRM이 IRS 협력하게 된 것을 자랑스럽게 생각하는 여러 가지 이유 중 하나입니다.