2023년에 꼭 알아야 할 암호화폐 조사: 글로벌

저희는 "꼭 알아야 할 암호화폐 수사" 시리즈를 통해 전 세계를 여행했습니다. 전 세계 모든 지역의 법 집행 기관이 새로운 기술을 악용하는 악의적인 행위자를 막는 데 주력하고 있다는 사실을 알게 되었습니다. 하지만 가장 큰 교훈은 무엇일까요? 훌륭한 수사를 위해서는 국경을 넘어 공공 부문과 민간 부문 간의 협력이 필요하다는 것입니다.

시리즈의 마지막 편에서는 국제 법 집행 협력을 대표하는 2023년의 주요 글로벌 수사 사례를 살펴봅니다.

1. 유럽과 미국 당국, 불법 행위자들이 수십억 달러의 자금 세탁에 사용한 믹싱 서비스 차단

2023년 3월, 독일과 미국 당국은 유로폴의 지원을 받아 국제 자금 세탁을 용이하게 하는 가상자산 믹싱 서비스인 칩믹서(ChipMixer)를 폐쇄했습니다. 

독일 당국은 작전 기간 동안 4개의 서버와 약 4,420만 달러의 가상자산 압수했습니다 가상자산 미국 당국도 ChipMixer의 운영자인 베트남 국적의 민 꾸옥 응우옌에게 여러 혐의를 부과하고 사용자를 ChipMixer로 유도하는 두 개의 도메인을 압수했습니다. 벨기에, 폴란드, 스위스 당국도 유로폴의 정보 교환을 통해 이 사건을 지원했습니다. 응웬은 2017년 8월 신원 도용, 가명, 익명 이메일 제공업체를 이용해 도메인 이름을 확보하고 서비스를 호스팅하는 칩믹서를 설립한 혐의를 받고 있습니다. 

믹서를 사용하면 여러 사용자가 소유한 암호화폐를 한데 섞어 자금의 출처를 숨길 수 있습니다. 이는 합법적인 사용자가 거래의 보안과 프라이버시를 강화하기 위해 사용할 수도 있고, 법 집행 기관의 추적을 피하려는 불법 행위자가 사용할 수도 있습니다.

칩믹서의 경우, 당국의 조사에 따르면 칩믹서가 최대 30억 달러 상당의 비트코인 세탁을 용이하게 했을 가능성이 있다고 합니다. TRM Labs의 정보에 따르면 유명 랜섬웨어 조직이 ChipMixer를 널리 사용했다는 사실이 확인되었습니다. "칩믹서는 랜섬웨어 역사상 가장 악명 높고 정교한 그룹에서 사용되었습니다. 특히, 전 세계 350개 이상의 조직을 표적으로 삼아 총 2억 7,500만 달러 이상의 몸값을 요구한 로열 랜섬웨어 조직은 칩믹서를 자주 사용했습니다."라고 TRM의 블록체인 인텔리전스 분석가인 캘리 브루처(Callie Brutcher)와 전 Tactical 전 미국 Federal Bureau of Investigation FBI의 사이버 수사 전문가입니다.랜섬웨어 공격은 대부분 금전적인 동기가 있습니다. 법 집행 기관은 그들의 기술을 폭로하고 조직이 자금 세탁에 사용하는 도구를 제거함으로써 랜섬웨어 운영을 방해하고 가장 큰 피해를 입는 그룹을 타격하고 있습니다."

TRM은 또한 최소 20개의 다크넷 마켓플레이스(DNM)와 일부 독립적인 불법 약물 공급업체가 불법 수익금을 세탁하는 데 ChipMixer를 사용했다는 사실을 발견했습니다. 2022년 4월 폐쇄되기 전 세계 최대 규모의 DNM이었던 Hydra는 ChipMixer를 통해 1,700만 달러 이상을 세탁했습니다. DNM은 일반 인터넷 브라우저로는 접근할 수 없고 검색 엔진으로도 색인되지 않는 암호화된 인터넷 영역인 '다크넷'에 위치한 다중 공급업체 온라인 불법 글로벌 상거래 플랫폼으로, 암호화폐를 매개로 한 온라인 불법 약물 거래의 진원지입니다. 

2. 서구의 다크넷 마켓플레이스에 대한 전 세계적인 단속으로 불법 마약 거래가 심각하게 중단되었습니다.

2023년 5월, 전 세계 법 집행 기관은 서부의 마약 밀매 조직인 모노폴리 마켓을 급습하여 불법 마약 거래에 또 다른 타격을 입혔습니다. 미국, 영국, 독일, 네덜란드, 오스트리아, 프랑스, 스위스, 폴란드, 브라질의 당국이 협력한 이 작전으로 9개국에서 공급자와 구매자를 포함해 총 288명이 체포되었습니다. 

모노폴리 마켓은 4년간 약 1,200개의 리스팅과 약 160만 달러의 총 판매량을 기록하는 등 서부 DNM 생태계에서 비교적 작은 규모의 업체였습니다. 하지만 이 사건은 더 넓은 서부 DNM 환경에 큰 영향을 미쳤다는 점에서 중요한 의미를 가집니다. 당국은 체포된 용의자들로부터 5,340만 달러 이상의 현금과 암호화폐, 그리고 다량의 불법 마약과 총기를 압수할 수 있었습니다. 모노폴리 단속 발표 이후 서부 디엔엠으로 들어오는 전체 입금 규모도 약 3분의 1로 감소했습니다. 

이러한 파급 효과에 대한 한 가지 설명은 서구의 DNM 공급업체가 한 번에 여러 DNM에 걸쳐 활동하는 경향이 있다는 것입니다. 이를 통해 공급업체는 안정적인 다중 소스 수입원을 확보하고 하나의 DNM이 다운될 위험을 헤지할 수 있습니다. 모노폴리 마켓에서 활동하다 적발된 일부 공급업체는 다른 DNM에서도 활동했을 가능성이 높았기 때문에, 모노폴리 마켓의 폐쇄로 인해 압수된 마켓플레이스보다 훨씬 더 많은 매출과 거래량이 감소한 것으로 나타났습니다.

"이번 단속의 파급 효과는 온라인 불법 마약 거래가 얼마나 서로 연결되어 있는지를 보여줍니다. 법 집행 기관이 공급업체와 고객 모두를 포괄적으로 타겟팅하여 단일 DNM을 광범위하게 공격할 수 있다면, DNM의 규모가 작더라도 엄청난 영향을 미칠 수 있습니다."라고 TRM의 글로벌 조사관이자 전 미국 마약 단속국(DEA) 특수 요원인 앨런 리프케는 설명합니다. "스텔스는 이러한 철저한 단속을 달성하는 데 중요한 요소입니다. 모노폴리 마켓은 2021년 12월에 오프라인으로 전환되었지만 압수수색은 올해에야 발표되었습니다. 덕분에 당국은 용의자에게 알리지 않고도 압수된 데이터를 조사하여 공급업체와 고객을 식별할 수 있는 충분한 시간을 확보할 수 있었을 것입니다."

3. 글로벌 법 집행 기관, 도난당한 디지털 ID의 온라인 마켓플레이스 차단

2023년 4월, FBI 네덜란드 경찰이 주도하고 유로폴이 협력한 글로벌 법 집행 작전에서 도난당한 디지털 신원을 주로 판매하는 온라인 범죄 마켓플레이스인 제네시스(Genesis) 마켓에 관여한 용의자 119명을 체포했습니다. 북미에서 유럽, 호주에 이르기까지 19개국의 당국이 이 작전에 참여했습니다. 

제네시스(Genesis) "도난당한 계정 액세스 자격 증명 패키지를 광고하고 판매하는" "봇"의 판매를전문으로 했습니다. 구매자는 구매 시 "지문, 쿠키, 저장된 로그인 및 자동 완성 양식 데이터"를 포함하여 BOT(태국 중앙은행)이 수집한 모든 데이터에 액세스할 수 있었습니다. 또한 보안 조치를 트리거하지 않고도 피해자 계정에 액세스할 수 있는 맞춤형 브라우저도 제공되었습니다. 제네시스(Genesis) BOT(태국 중앙은행)에서 150만 개 이상의 봇이 BOT(태국 중앙은행) 미화 0.70달러에 판매되었습니다. 

TRM 분석에 따르면 제네시스(Genesis) 2018년 2월부터 2022년 5월까지 약 800만 달러의 수익을 올렸습니다. 제네시스(Genesis) 결제 서비스, 암호화폐 거래소, 사용자가 법정화폐로 디지털 자산을 구매, 판매, 거래할 수 있는 P2P 암호화폐 마켓플레이스에서 가장 많은 자금을 받았습니다.

" 제네시스(Genesis) 에서 수익화되는 신원 도용의 규모는 어마어마했습니다. 200만 명 이상의 사용자로부터 8천만 개 이상의 크리덴셜과 디지털 지문이 호스팅되었습니다. 영국에서만 수백 명의 사용자가 확인되었고 24명이 체포되었습니다."라고 TRM의 글로벌 수사관이자 전 영국 국가범죄청의 수석 운영 지원 책임자인 마이클 도네건은 말합니다. " 제네시스(Genesis) ) 압수수색은 범죄자에게 정의를 구현하는 것 외에도 법 집행 기관이 피해자를 식별하고 지원할 수 있게 해주었습니다. 네덜란드 경찰의 이니셔티브를 통해 일반 대중은 자신의 데이터가 유출되었는지 온라인으로 확인하고 스스로를 보호하기 위한 조치를 취할 수 있습니다."

이 작전으로 제네시스(Genesis)의 운영이 마비되었지만, 다크넷 포럼에 따르면 일부 서버는 여전히 작동하고 있으며 관리자는 여전히 존재할 수 있다고 합니다. 제네시스(Genesis)의 운영 방식은 자산 압류에도 상당한 어려움을 겪었을 것으로 보입니다. 제네시스(Genesis) 제3자 결제 처리업체를 통해 고객으로부터 예치금을 수금했습니다. 결제는 다른 서버를 가진 다른 법인을 통해 이루어졌기 때문에 마켓플레이스 자체에서 직접 결제를 처리하는 상황보다 자산 압류가 더 어려웠을 것입니다.

도네건은 "이 사건은 불법 이커머스를 표적으로 삼는 수사관들이 직면한 몇 가지 문제를 조명합니다."라고 덧붙였습니다.블록체인 인텔리전스 TRM과 같은블록체인 인텔리전스 도구는 수사관들이 생태계의 상호 연결성을 발견하고 더 많은 혼란을 야기하는 데 도움이 될 수 있습니다."

4. 미국 당국과 글로벌 파트너, 멀웨어 BOT(태국 중앙은행) ) 인프라를 다운시키고 수백만 달러의 불법 암호화폐를 압수했습니다.

2023년 8월 말, FBI 전 세계 법 집행 기관과 협력하여 2008년부터 랜섬웨어 및 피해자 데이터 유출을 포함한 사이버 범죄 활동에 사용된 정교한 멀웨어 변종이자 봇넷인 Qakbot 인프라를 사전에 차단한다고 발표했습니다. 많은 유명 랜섬웨어 그룹이 피해자 컴퓨터를 감염시킨 후 피해자의 컴퓨터에서 봇넷을 삭제하기 위해 '몸값'을 요구하는 데 Qakbot 사용했습니다.

이 광범위한 작전은 봇넷 트래픽을 FBI 통제하는 서버로 리디렉션하고, 감염된 피해자들로부터 Qakbot 멀웨어를 제거하며, 글로벌 인프라를 해체하는 데 성공했습니다. 또한 당국은 약 860만 달러 상당의 가상자산 불법 수익금으로 압수 또는 동결할 수 있었습니다. 

"대부분의 사이버 범죄자들과 마찬가지로 Qakbot 시간이 지나면서 가상자산 익명성과 국경을 넘어 가치를 이동할 수 있는 빠른 속도 때문에 [...] 가상자산을 독점적으로 사용하는 방식으로 진화했습니다."라고 FBI 사이버 부서 브라이언 스미스 과장은 설명합니다. "우리는 여러 블록체인 분석 도구를 사용하여 가상자산 식별하고 전 세계에서 이를 추적하여 [압수에 성공했습니다]. "

이 중대한 혼란은 10년이 넘는 조사 노력과 여러 기관의 협력의 정점으로, 끈기와 파트너십의 힘을 보여주는 증거입니다.

5. 1억 달러 이상의 암호화폐 사기 수익금을 압수한 글로벌 사이버 범죄 작전

2023년 12월, 인터폴은 온라인 금융 범죄에 대한 초국가적 경찰 작전인 '해치 4' 작전의 종료를 발표했습니다. 한국의 재정적 지원과 전 세계 30여 개국 당국의 참여로 6개월간 진행된 이 작전은 보이스피싱, 로맨스 스캠, 온라인 성착취, 투자 사기, 불법 온라인 도박 관련 자금 세탁, 기업 이메일 침해 사기, 전자상거래 사기 등 7가지 사이버 기반 사기 유형을 대상으로 진행되었습니다. 특히, 해치 IV가 조사한 사건의 75%는 투자 사기, 비즈니스 이메일 유출, 전자상거래 사기와 관련된 것이었습니다.

당국은 3,500명 이상을 체포하고 1억 9,900만 달러 이상의 현금과 1억 1,100만 달러의 가상자산 압수했습니다 가상자산 또한 인터폴은 일선 경찰관 및 VASP와 협력하여 초국적 조직 범죄와 관련된 367개의 가상자산 계정을 확인했습니다. 관련 경찰 기관에 의해 자산이 동결되었으며 수사가 진행 중입니다.

"암호화폐와 인터넷에는 사기꾼과 사기꾼에게 국경이 없습니다. 이들은 지구 반대편에 있는 피해자를 쉽게 노릴 수 있으며, 여러 관할권에 걸쳐 운영을 분산시킬 수 있습니다. 따라서 사기 및 사기를 막기 위해서는 다국적 및 기관 간 협력이 매우 중요합니다."라고 TRM의 글로벌 조사 담당 매니저인 Lisa Wolk는 말합니다. "공공-민간 파트너십도 필수적입니다. VASP는 일반적으로 자금이 법정 통화로 다시 전환되기 전 자금 세탁의 마지막 단계에 있기 때문에 핵심적인 차단 지점입니다. 이러한 불법 행위자를 탐지하고 차단하기 위해서는 강력한 규정 준수 통제와 법 집행 기관과의 긴밀한 협력에 대한 VASP의 노력이 중요합니다."

이러한 사례를 보면 암호화폐 관련 범죄를 단속하는 데 있어 국경이 장벽이 될 수 없다는 것을 알 수 있습니다. 2024년에도 이러한 추세는 계속될 것으로 보입니다. 이번 주에 당국은 글로벌 작전을 통해 세계에서 가장 많은 랜섬웨어 배포하는 조직 중 하나인 LockBit을 제거했다고 발표했습니다. 국제 사회의 긴밀하고 신중한 협력을 통해 더 큰 규모의 혼란을 막을 수 있을 것입니다.

전 세계 법 집행 커뮤니티와의 학습 및 파트너십을 통해 암호화폐 수사 기술을 확장하고자 하는 법 집행 기관이라면, 법 집행 기관 전용 워킹 그룹인 LEO Labs에 가입하세요, 여기.