By ANDY GREENBERG, WIRED US
미국 맨해튼 법원에서 가상자산 거래소 FTX 창립자 샘 뱅크먼 프리드의 형사 재판이 시작되자 전 세계 암호화폐 관측통이 FTX 관련 여러 범죄 의혹 진행 상황에 주목했다. 그중 하나는 FTX 파산 당시 FTX에 예치된 자산 4억 달러 이상 탈취한 뒤 9개월 동안 신원이 밝혀지지 않은 탈취 세력의 범죄 행위이다. FTX 암호화폐 탈취 세력은 탈취 자산을 현금으로 인출하려 여러 블록체인으로 이체하면서 탈취 자산 이체 동향을 추적하지 못하도록 했다. 블록체인 업계 관측통은 FTX의 탈취 자산 추적이 해킹 공격을 개시한 이들의 신원을 밝히는 데 도움이 되기를 바란다. 최근, 어느 한 암호화폐 추적 기업이 FTX 암호화폐 자산 탈취 세력이 러시아와 관련된 세력일 가능성을 제시하는 여러 단서를 발견했다.
2023년 10월 12일(현지 시각), 암호화폐 추적 기업 엘립틱(Elliptic)은 2022년 11월 11일(현지 시각) 이후 4억 1,500만 달러에 이르는 FTX의 탈취 자산이 탈취 세력의 자금 세탁, 유동성 준비 시도 도중 수억 달러에 이르는 수억 달러의 자산을 수많은 암호화폐 서비스 기업 명단 사이에서 이체한 과정과 FTX 자체가 보유한 서비스 간 거래된 과정을 보여준다. 그러나 FTX가 탈취한 수억 달러 상당의 자산은 2023년 내내 사용되지 않은 것으로 드러났다. 그리고 2023년 10월 들어 뱅크먼 프리드가 출석한 재판에서 FTX 해킹 관련 일부 상황이 밝혀졌다.
더 주목할 만한 사실은 엘립틱의 분석 결과가 FTX 탈취 자산을 세탁한 세력이 러시아 사이버 범죄 조직과 관련이 있다는 점을 처음 발견했다는 사실이다. FTX 탈취 자산 중 약 800만 달러는 러시아와 관련된 랜섬웨어 조직, 다크웹 사장 등도 포함된 자산 풀로 이체된 것으로 드러났다. 자산 풀에 FTX의 탈취 자산이 혼합되었다는 사실 자체는 실제 FTX 해킹으로 암호화폐 자산을 탈취한 세력이 러시아 조직인가를 떠나 FTX의 탈취 자산을 받은 자금 세탁 세력이 러시아인이거나 러시아 사이버 범죄 조직일 확률이 높다는 점을 의미한다.
엘립틱 공동 창립자 겸 수석 과학자 톰 로빈슨(Tom Robison)은 “FTX 해킹 세력이 러시아와 관련되었을 확률이 높다. FTX를 해킹한 세력이 러시아 세력이라고 확신할 수는 없으나 정황상 러시아 조직이거나 러시아인일 확률이 높다”라고 설명했다.
엘립틱은 자산 탈취 이후 자금 세탁 과정이 시작된 날부터 대규모 암호화폐 탈취 범죄 세력이 행하는 일반적인 단계를 탈취 자산을 안전하게 보관하고, 세탁된 암호화폐로 바꾸기 수월하면서 암호화폐 혼합 서비스를 통해 자금 세탁을 마치도록 자산을 옮긴다고 설명했다. 탈취 자산 대부분 일반 암호화폐와 달리 발행 기관이 탈취 범죄 발생 시 동결할 수 있는 스테이블코인이었다. 실제로 스테이블코인 발행 기관 테더(Tether)는 FTX 해킹 범죄 이후 총 3,100만 달러 상당의 탈취 자산을 동결했다. 이후 FTX 자산 탈취 세력은 즉시 유니스왑(Uniswap), 팬케이크스왑(PancakeSwap) 등 중앙화 거래소의 고객확인제도(KYC) 요구사항이 없는 탈중앙화 거래소에서 나머지 스테이블코인을 다른 가상자산으로 전환했다.
이후 자산 탈취 세력은 여러 단계에 걸친 절차에 따라 스테이블코인과 교환한 가상자산을 세탁하기 수월한 암호화폐로 전환했다. 이 과정에서는 암호화폐를 한 블록체인에서 다른 블록체인에 보관하도록 전환하는 ‘크로스체인 브리지’를 사용하고는 멀티체인(Multichain)과 웜홀(Wormhole)이라는 브리지에서 토큰을 이더리움으로 전환했다. 탈취 후 3일이 지났을 때는 가상자산 지갑 한 곳에 총 3억 600만 달러 상당의 이더리움을 보관했다. 테더가 탈취 자산과 거래 수수료를 압수하기 전보다 보유한 탈취 자산이 약 1억 달러 감소했다.
이때, 자산 탈취 세력은 이더리움을 비트코인으로 전환하는 데 집중하기 시작했다. 사용자의 비트코인을 타인이 보유한 비트코인과 혼합하여 블록체인 기반 추적 활동을 막을 수 있는 암호화폐 혼합 서비스 사용이 수월하기 때문이다. FTX 해킹 발생 9일 후인 2022년 11월 20일(현지 시각), 자산 탈취 세력인 이더리움 보유량 약 1/4을 렌브리지(RenBridge)라는 브리지 서비스를 통해 비트코인으로 전환했다. 한 가지 역설적인 점이 있다면, 렌브리지가 FTX가 소유한 서비스라는 점이다. 로빈슨은 “해킹 과정이 기본적으로 피해자의 서비스를 통해 이루어진 점이 매우 놀랍다”라고 언급했다.
12월 12일(현지 시각), FTX 해킹 한 달 뒤 렌브리지를 통해 전환한 비트코인 대부분 암호화폐 혼합 서비스인 칩믹서(ChipMixer)로 전달됐다. 이제 폐쇄된 서비스인 칩믹서는 대다수 암호화폐 혼합 서비스와 마찬가지로 칩믹서는 사용자 자금을 받고는 수수료를 제외한 나머지 금액을 다른 곳에서 돌려준다. 이론상 블록체인에서 자금 출처를 추적할 때 혼란을 더하는 과정이다. 그러나 엘립틱은 러시아 랜섬웨어 조직과 다크 웹 시장 수익금을 포함한 자산 풀에서 800만 달러 상당의 암호화폐를 추적할 수 있었다고 전했다. 자산은 현금 인출 목적으로 다양한 거래소로 이체된 것으로 확인됐다.
로빈슨은 “자산 탈취 세력이 자금 세탁 세력에게 탈취 자산 관리 권한을 넘긴 것으로 보인다. 자산 관리 권한을 넘겨주었더라도 러시아 자금 세탁 운영 관계자와 자산 탈취 세력 간 접촉이 있었다는 의미로 볼 수 있다”라고 설명했다. 이어, 엘립틱이 자금 세탁 세력이 러시아와 관련되었음을 시사하는 다른 정보를 확보했으나 아직 해당 정보를 공개하지 않았다고 덧붙였다.
자산 탈취 세력이 칩믹서를 이용해 탈취 자산 일부를 처음 세탁하려 한 뒤 활동이 잠잠해진 점이 이상하다. 자산 탈취 세력이 손에 넣고, 세탁하지 않은 이더리움 대부분 9개월간 거래 활동이 없었다.
2023년 9월 30일(현지 시각), 뱅크먼 프리드의 재판 일정이 며칠 남지 않은 시점에 나머지 탈취 자산 이동 흐름이 포착됐다. 이때 렌브리지는 모기업인 FTX 파산 여파로, 칩믹서는 법률 집행 기관의 압수 여파로 서비스 운영이 중단되었다. 결국, 자산 탈취 세력은 토르스왑(THORSwap)이라는 서비스를 이용해 이더리움을 비트코인으로 전환하고는 비트코인을 신바드(Sinbad)라는 암호화폐 혼합 서비스로 전송했다.
신바드는 지난 몇 년간 암호화폐 범죄 세력이 범죄 자금을 마지막으로 전송하는 곳으로 인기를 얻었다. 특히, 북한 해커 세력이 탈취한 암호화폐가 신바드로 전송된 사례가 많았다. 그러나 로빈슨은 FTX의 나머지 탈취 자산이 신바드로 이체된 과정이 북한 해커 세력의 전형적인 탈취 활동보다는 교묘함이 덜하다고 전했다. 이와 관련, “FTX 탈취 자산은 북한 해커 조직인 라자루스가 일반적으로 사용하는 일부 서비스를 사용하지 않았다. 따라서 북한 해커 세력의 탈취 자산과는 다른 자산이라고 보았다”라고 말했다. 로빈슨은 신바드가 2022년, 러시아 랜섬웨어 조직의 범죄 자금 세탁을 도와 미국 정부 제재로 타격을 받은 암호화폐 혼합 서비스 블렌더(Blender)가 새로운 이름으로 선보인 서비스일 가능성을 언급했다. 신바드도 영어와 러시아어로 암호화폐 혼합 서비스를 지원한다.
뱅크먼 프리드의 재판 직전 FTX 탈취 자산이 새로이 이체된 사실이 FTX 내부자의 해킹 가담 가능성을 시사할까? 로빈슨은 시기가 의심스럽지만, FTX 내부자가 가담했을 가능성은 추측일 뿐이라고 언급했다. 뱅크먼 프리드의 재판 직전FTX 탈취 자산이 다시 이체된 것은 단순히 우연일 수도 있다. 혹은 최근 탈취 자산을 이체한 이가 인터넷 접근 권한 상실을 우려한 FTX 내부 관계자일 수도 있다. 뱅크먼 프리드와 다른 FTX 경영진 모두 탈취 혐의는 받지 않았다. 탈취 후 이체된 일부 자산은 뱅크먼 프리드가 인터넷 접속이 지원되지 않는 노트북만 있는 법정에 설 당시 이루어졌다.
결국 FTX 자산 탈취 세력의 탈취 자산을 현금으로 인출하고 세탁 자산 일부를 법정 통화로 전환하려는 시도가 계속 이어질 것임은 분명하다. 로빈슨은 자산 탈취 세력이 암호화폐 혼합 서비스를 사용하더라도 언젠가는 추가로 확인되기를 바란다. 로빈슨은 “자산 탈취 세력이 적어도 다른 자산으로 인출하는 데 성공할 것으로 예상한다. 자산 인출 시 추적 우회 여부는 별도의 문제이다. 이미 블록체인 추적 활동이 진행 중인 가운데, 시간이 지나면서 탈취 자산의 행방이 더 분명해질 것으로 예상한다”라고 말했다.
엘립틱 이외에 다른 가상자산 추적 기업인 TRM 랩스(TRM Labs)와 체이널리시스(Chainalysis) 모두 존 레이 3세가 FTX 경영권을 넘겨받은 뒤 수사 지원 기관으로 선정됐다. TRM 랩스는 FTX 자산 탈취 사건 관련 의견 공개를 거부했다. 체이널리시스와 FTX는 와이어드의 문의에 답변하지 않았다.
암호화폐 추적 기관이 FTX 탈취 자산을 계속 추적하고 있어, 언젠가는 FTX 해킹 의문점이 풀릴 것으로 보인다. 그러나 분개한 FTX 청산인 다수는 뱅크먼 프리드의 재판과 비트코인 블록체인 등에 주목할 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
New Clues Suggest Stolen FTX Funds Went to Russia-Linked Money Launderers
미국 맨해튼 법원에서 가상자산 거래소 FTX 창립자 샘 뱅크먼 프리드의 형사 재판이 시작되자 전 세계 암호화폐 관측통이 FTX 관련 여러 범죄 의혹 진행 상황에 주목했다. 그중 하나는 FTX 파산 당시 FTX에 예치된 자산 4억 달러 이상 탈취한 뒤 9개월 동안 신원이 밝혀지지 않은 탈취 세력의 범죄 행위이다. FTX 암호화폐 탈취 세력은 탈취 자산을 현금으로 인출하려 여러 블록체인으로 이체하면서 탈취 자산 이체 동향을 추적하지 못하도록 했다. 블록체인 업계 관측통은 FTX의 탈취 자산 추적이 해킹 공격을 개시한 이들의 신원을 밝히는 데 도움이 되기를 바란다. 최근, 어느 한 암호화폐 추적 기업이 FTX 암호화폐 자산 탈취 세력이 러시아와 관련된 세력일 가능성을 제시하는 여러 단서를 발견했다.
2023년 10월 12일(현지 시각), 암호화폐 추적 기업 엘립틱(Elliptic)은 2022년 11월 11일(현지 시각) 이후 4억 1,500만 달러에 이르는 FTX의 탈취 자산이 탈취 세력의 자금 세탁, 유동성 준비 시도 도중 수억 달러에 이르는 수억 달러의 자산을 수많은 암호화폐 서비스 기업 명단 사이에서 이체한 과정과 FTX 자체가 보유한 서비스 간 거래된 과정을 보여준다. 그러나 FTX가 탈취한 수억 달러 상당의 자산은 2023년 내내 사용되지 않은 것으로 드러났다. 그리고 2023년 10월 들어 뱅크먼 프리드가 출석한 재판에서 FTX 해킹 관련 일부 상황이 밝혀졌다.
더 주목할 만한 사실은 엘립틱의 분석 결과가 FTX 탈취 자산을 세탁한 세력이 러시아 사이버 범죄 조직과 관련이 있다는 점을 처음 발견했다는 사실이다. FTX 탈취 자산 중 약 800만 달러는 러시아와 관련된 랜섬웨어 조직, 다크웹 사장 등도 포함된 자산 풀로 이체된 것으로 드러났다. 자산 풀에 FTX의 탈취 자산이 혼합되었다는 사실 자체는 실제 FTX 해킹으로 암호화폐 자산을 탈취한 세력이 러시아 조직인가를 떠나 FTX의 탈취 자산을 받은 자금 세탁 세력이 러시아인이거나 러시아 사이버 범죄 조직일 확률이 높다는 점을 의미한다.
엘립틱 공동 창립자 겸 수석 과학자 톰 로빈슨(Tom Robison)은 “FTX 해킹 세력이 러시아와 관련되었을 확률이 높다. FTX를 해킹한 세력이 러시아 세력이라고 확신할 수는 없으나 정황상 러시아 조직이거나 러시아인일 확률이 높다”라고 설명했다.
엘립틱은 자산 탈취 이후 자금 세탁 과정이 시작된 날부터 대규모 암호화폐 탈취 범죄 세력이 행하는 일반적인 단계를 탈취 자산을 안전하게 보관하고, 세탁된 암호화폐로 바꾸기 수월하면서 암호화폐 혼합 서비스를 통해 자금 세탁을 마치도록 자산을 옮긴다고 설명했다. 탈취 자산 대부분 일반 암호화폐와 달리 발행 기관이 탈취 범죄 발생 시 동결할 수 있는 스테이블코인이었다. 실제로 스테이블코인 발행 기관 테더(Tether)는 FTX 해킹 범죄 이후 총 3,100만 달러 상당의 탈취 자산을 동결했다. 이후 FTX 자산 탈취 세력은 즉시 유니스왑(Uniswap), 팬케이크스왑(PancakeSwap) 등 중앙화 거래소의 고객확인제도(KYC) 요구사항이 없는 탈중앙화 거래소에서 나머지 스테이블코인을 다른 가상자산으로 전환했다.
이후 자산 탈취 세력은 여러 단계에 걸친 절차에 따라 스테이블코인과 교환한 가상자산을 세탁하기 수월한 암호화폐로 전환했다. 이 과정에서는 암호화폐를 한 블록체인에서 다른 블록체인에 보관하도록 전환하는 ‘크로스체인 브리지’를 사용하고는 멀티체인(Multichain)과 웜홀(Wormhole)이라는 브리지에서 토큰을 이더리움으로 전환했다. 탈취 후 3일이 지났을 때는 가상자산 지갑 한 곳에 총 3억 600만 달러 상당의 이더리움을 보관했다. 테더가 탈취 자산과 거래 수수료를 압수하기 전보다 보유한 탈취 자산이 약 1억 달러 감소했다.
이때, 자산 탈취 세력은 이더리움을 비트코인으로 전환하는 데 집중하기 시작했다. 사용자의 비트코인을 타인이 보유한 비트코인과 혼합하여 블록체인 기반 추적 활동을 막을 수 있는 암호화폐 혼합 서비스 사용이 수월하기 때문이다. FTX 해킹 발생 9일 후인 2022년 11월 20일(현지 시각), 자산 탈취 세력인 이더리움 보유량 약 1/4을 렌브리지(RenBridge)라는 브리지 서비스를 통해 비트코인으로 전환했다. 한 가지 역설적인 점이 있다면, 렌브리지가 FTX가 소유한 서비스라는 점이다. 로빈슨은 “해킹 과정이 기본적으로 피해자의 서비스를 통해 이루어진 점이 매우 놀랍다”라고 언급했다.
12월 12일(현지 시각), FTX 해킹 한 달 뒤 렌브리지를 통해 전환한 비트코인 대부분 암호화폐 혼합 서비스인 칩믹서(ChipMixer)로 전달됐다. 이제 폐쇄된 서비스인 칩믹서는 대다수 암호화폐 혼합 서비스와 마찬가지로 칩믹서는 사용자 자금을 받고는 수수료를 제외한 나머지 금액을 다른 곳에서 돌려준다. 이론상 블록체인에서 자금 출처를 추적할 때 혼란을 더하는 과정이다. 그러나 엘립틱은 러시아 랜섬웨어 조직과 다크 웹 시장 수익금을 포함한 자산 풀에서 800만 달러 상당의 암호화폐를 추적할 수 있었다고 전했다. 자산은 현금 인출 목적으로 다양한 거래소로 이체된 것으로 확인됐다.
로빈슨은 “자산 탈취 세력이 자금 세탁 세력에게 탈취 자산 관리 권한을 넘긴 것으로 보인다. 자산 관리 권한을 넘겨주었더라도 러시아 자금 세탁 운영 관계자와 자산 탈취 세력 간 접촉이 있었다는 의미로 볼 수 있다”라고 설명했다. 이어, 엘립틱이 자금 세탁 세력이 러시아와 관련되었음을 시사하는 다른 정보를 확보했으나 아직 해당 정보를 공개하지 않았다고 덧붙였다.
자산 탈취 세력이 칩믹서를 이용해 탈취 자산 일부를 처음 세탁하려 한 뒤 활동이 잠잠해진 점이 이상하다. 자산 탈취 세력이 손에 넣고, 세탁하지 않은 이더리움 대부분 9개월간 거래 활동이 없었다.
2023년 9월 30일(현지 시각), 뱅크먼 프리드의 재판 일정이 며칠 남지 않은 시점에 나머지 탈취 자산 이동 흐름이 포착됐다. 이때 렌브리지는 모기업인 FTX 파산 여파로, 칩믹서는 법률 집행 기관의 압수 여파로 서비스 운영이 중단되었다. 결국, 자산 탈취 세력은 토르스왑(THORSwap)이라는 서비스를 이용해 이더리움을 비트코인으로 전환하고는 비트코인을 신바드(Sinbad)라는 암호화폐 혼합 서비스로 전송했다.
신바드는 지난 몇 년간 암호화폐 범죄 세력이 범죄 자금을 마지막으로 전송하는 곳으로 인기를 얻었다. 특히, 북한 해커 세력이 탈취한 암호화폐가 신바드로 전송된 사례가 많았다. 그러나 로빈슨은 FTX의 나머지 탈취 자산이 신바드로 이체된 과정이 북한 해커 세력의 전형적인 탈취 활동보다는 교묘함이 덜하다고 전했다. 이와 관련, “FTX 탈취 자산은 북한 해커 조직인 라자루스가 일반적으로 사용하는 일부 서비스를 사용하지 않았다. 따라서 북한 해커 세력의 탈취 자산과는 다른 자산이라고 보았다”라고 말했다. 로빈슨은 신바드가 2022년, 러시아 랜섬웨어 조직의 범죄 자금 세탁을 도와 미국 정부 제재로 타격을 받은 암호화폐 혼합 서비스 블렌더(Blender)가 새로운 이름으로 선보인 서비스일 가능성을 언급했다. 신바드도 영어와 러시아어로 암호화폐 혼합 서비스를 지원한다.
뱅크먼 프리드의 재판 직전 FTX 탈취 자산이 새로이 이체된 사실이 FTX 내부자의 해킹 가담 가능성을 시사할까? 로빈슨은 시기가 의심스럽지만, FTX 내부자가 가담했을 가능성은 추측일 뿐이라고 언급했다. 뱅크먼 프리드의 재판 직전FTX 탈취 자산이 다시 이체된 것은 단순히 우연일 수도 있다. 혹은 최근 탈취 자산을 이체한 이가 인터넷 접근 권한 상실을 우려한 FTX 내부 관계자일 수도 있다. 뱅크먼 프리드와 다른 FTX 경영진 모두 탈취 혐의는 받지 않았다. 탈취 후 이체된 일부 자산은 뱅크먼 프리드가 인터넷 접속이 지원되지 않는 노트북만 있는 법정에 설 당시 이루어졌다.
결국 FTX 자산 탈취 세력의 탈취 자산을 현금으로 인출하고 세탁 자산 일부를 법정 통화로 전환하려는 시도가 계속 이어질 것임은 분명하다. 로빈슨은 자산 탈취 세력이 암호화폐 혼합 서비스를 사용하더라도 언젠가는 추가로 확인되기를 바란다. 로빈슨은 “자산 탈취 세력이 적어도 다른 자산으로 인출하는 데 성공할 것으로 예상한다. 자산 인출 시 추적 우회 여부는 별도의 문제이다. 이미 블록체인 추적 활동이 진행 중인 가운데, 시간이 지나면서 탈취 자산의 행방이 더 분명해질 것으로 예상한다”라고 말했다.
엘립틱 이외에 다른 가상자산 추적 기업인 TRM 랩스(TRM Labs)와 체이널리시스(Chainalysis) 모두 존 레이 3세가 FTX 경영권을 넘겨받은 뒤 수사 지원 기관으로 선정됐다. TRM 랩스는 FTX 자산 탈취 사건 관련 의견 공개를 거부했다. 체이널리시스와 FTX는 와이어드의 문의에 답변하지 않았다.
암호화폐 추적 기관이 FTX 탈취 자산을 계속 추적하고 있어, 언젠가는 FTX 해킹 의문점이 풀릴 것으로 보인다. 그러나 분개한 FTX 청산인 다수는 뱅크먼 프리드의 재판과 비트코인 블록체인 등에 주목할 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
New Clues Suggest Stolen FTX Funds Went to Russia-Linked Money Launderers
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다