본문 바로가기 주메뉴 바로가기 검색 바로가기
23억 달러 규모 토네이도 캐시 사건, 암호화폐 프라이버시의 중요한 전환점 기록
상태바
23억 달러 규모 토네이도 캐시 사건, 암호화폐 프라이버시의 중요한 전환점 기록
암호화폐 프라이버시 서비스 토네이도 캐시 창립자 알렉세이 퍼트세브의 유죄 판결은 최초로 금융 감시 기피의 어려움을 더하는 여러 사례 중 하나에 해당한다.
By ANDY GREENBERG, WIRED US

2020년 가을, 암호화폐 사기꾼 집단과 탈취 세력이 사용자 자금을 혼합하여 이더리움 블록체인상 암호화폐 거래 기록 자취 추적을 막는 금융 프라이버시 툴인 토네이도 캐시(Tornado Cash)의 전체 잠재력을 깨닫자 토네이도 캐시 창립자 중 한 명인 알렉세이 퍼트세브(Alexey Pertsev)는 공동 창립자에게 갈수록 커지는 문제점을 알리는 메시지를 보냈다. 퍼트세브는 토네이도 캐시 서비스를 통해 탈취 자산이 세탁된 문제를 알리며, 도움을 호소하는 피해자에게 전송할 표준 답변 마련을 제안했다. 당시 네덜란드에 거주 중이던 27세 러시아 국적자 퍼트세브는 “토네이도 캐시는 모든 비슷한 사례의 피해자에게 전송할 메시지를 생성해야 한다”라고 주장했다.

퍼트세브가 메시지를 전송하고 3분이 지나자 토네이도 캐시 공동 창립자 로만 세메노브(Roman Semenov)는 피해자의 요청 후 보낼 답변 메시지 초안을 전달했다. 기본적으로 토네이도 캐시의 신규 디자인이 토네이도 캐시의 자체 서버가 아닌 이더리움 블록체인을 기반으로 운영된다는 점에서 피해 자금은 토네이도 캐시의 손에서 벗어났다는 점을 지목하는 내용을 담았다. 세메노브가 공유한 메시지 초안에는 “토네이도 캐시는 어느 기관이나 세력도 통제할 수 없는 탈중앙화 소프트웨어 프로토콜이다. 따라서 토네이도 캐시 프로토콜과 관련한 어떠한 문제에도 도움을 줄 수 없다”라고 작성되었다.

세메노브의 초안으로 작성된 공식 답변의 태도는 토네이도 캐시가 2일 뒤 북한 정부 산하 해커 세력이 가상자산 거래소 쿠코인(KuCoin)에서 총 2억 7,500만 달러 상당의 암호화폐를 탗뤼한 뒤 토네이도 캐시를 통해 탈취 자산 일부분의 자취를 감추려 하자 내놓은 토네이도 캐시의 공식 입장에도 남아있다. 네덜란드 검찰은 토네이도 캐시가 수십억 달러 상당의 탈취 자산이 앞으로 2년간 토네이도 캐시 서비스를 통해 이체되도록 한다는 태도를 고수할 것이라고 전했다. 적어도 2019년부터 2022년까지 토네이도 캐시의 전체 거래량 중 30% 이상 차지하는 암호화폐 범죄와 제재 기관의 자금 23억 달러 중 적어도 일부 금액이 포함될 것으로 보인다.

퍼트세브의 체포와 자금 세탁 혐의 기소 시점에서 2년이 지난 현재 통제 불가능한 탈중앙화 프로토콜이라는 방어가 퍼트세브의 무죄 주장의 쟁점이 되었다. 2024년 5월 14일(현지 시각), 네덜란드 판사 3인이 퍼트세브에게 수년간의 징역형을 선고할 수도 있는 형사 기소 사건 재판을 시작했다. 프라이버시 옹호 세력은 이번 사건 판결이 2024년 9월 자로 뉴욕 검찰이 재판을 시작할 또 다른 토네이도 캐시 공동 창립자 로만 스톰(Roman Storm) 사건과 함께 암호화폐 프라이버시의 미래를 형성할 것으로 예상한다. 또한, 토네이도 캐시나 금융 감시 피난처를 제공할 목적의 다른 오픈소스 소프트웨어 생성 제한을 판단할 가능성도 기대한다.

네덜란드 검찰은 기본적으로 토네이도 캐시가 일련의 스마트 계약으로 작동하도록 설계하면서 완벽한 자금 세탁 수단을 생성하여 결과적으로 토네이도 캐시의 창립자가 자금의 원출처와 최종 전송 지점을 숨기고자 하는 사용자 신원을 식별하거나 통제하는 행위를 막은 혐의로 퍼트세브를 기소했다. (스마트 계약은 이더리움 블록체인에 저장하는 이더리움 노드 수천 개에 코드를 복사하는 고유 기능으로 실현되는 탈중앙화 서비스이다.)

반면, 퍼트세브의 지지 세력은 탈중앙화 프로토콜의 특성이 토네이도 캐시가 강력한 프라이버시 수단이 된 배경이라고 주장한다. 퍼트세브의 재판에 출석한 『비트코인: 진전 중인 작업(Bitcoin: A Work in Progress)』의 저자이자 네덜란드 암호화폐 개발자 스조르 프로부스트(Sjors Provoost)는 “토네이도 캐시의 설계는 탈중앙화 시스템의 전체 특징이다. 세계관의 완벽한 충돌이 존재한다. 프라이버시와 탈중앙화라는 세계관이 존재하고, 모든 거래를 확인할 수 있는 정부 감시라는 세계관도 존재한다”라고 말했다.

2022년, 미국과 네덜란드 검찰이 토네이도 캐시 공동 창립자를 기소하고, 미국 재무부가 토네이도 캐시를 제재 명단에 추가하자 일부 암호화폐 업계 관계자 사이에서 토네이도 캐시 사건에 환호했다. 반면, 토네이도 캐시의 일부 지지 세력은 유죄 판결이 금융 프라이버시를 해치는 것은 물론이고, 오픈소스 개발자가 직접 개발한 툴의 다른 사용자 행동에 법적 책임을 져야 한다는 위험한 선례를 남길 수 있다고 주장했다. 이더리움 공동 창립자 비탈릭 부테린(Vitalik Buterin)은 자신이 러시아의 우크라이나 침략 후 우크라이나에 익명으로 기부금을 보낼 때 토네이도 캐시를 이용한 사례를 토네이도 캐시의 합법적인 프라이버시 활용 사례라고 공개적으로 알렸다. 미국 국가안전보장국(NSA) 내부 고발자인 에드워드 스노든(Edward Snowden)은 이더리움 블록체인에서 토네이도 캐시의 기능을 공원에 건설된 분수대에 비유하며, “버튼을 눌러 프라이버시 보호가 실현되도록 하는 공공 사용성에 해당한다”라고 주장했다. 또한, 토네이도 캐시와 토네이도 캐시 공동 창립자 단속이 자유를 깊이 제한하면서 매우 권위주의적인 행위라고 비판했다.

그러나 네덜란드 검찰과 퍼트세브 조사를 이끈 네덜란드 금융 법률 집행 기관인 FIDO는 이번 사건이 실제로 프라이버시와 보안 간의 근본적인 갈등이나 오픈소스 코드의 법적 책임, 기타 범위가 더 큰 원칙과 관련이 있는 것은 아니라고 전했다. 사건 조사를 이끈 M. 보어라지(M. Boerlage) 검사는 와이어드와의 인터뷰에서 “검찰의 의혹을 제기하는 부분은 선택 문제와 관련성이 있다”라며, “퍼트세브는 코드 작성과 코드 구축, 생태계 기능 추가 등을 결정했다. 한 가지 선택 후 또 다른 선택을, 이후 또 다른 추가 선택을 하면서 범죄 자금이 토네이도 캐시에 유입된다는 사실을 인지했을 것이다. 따라서 코드가 아닌 인간의 행동이 문제가 된다”라고 말했다.

개방된 공간
네덜란드 검찰은 토네이도 캐시 창립자의 주장에 맞서 토네이도 캐시 통제 권한을 행사할 수 있었다. 탈중앙화 스마트 계약 설계를 제외하고, 블록체인 기반 스마트 계약과의 상호작용을 위한 토네이도 캐시의 웹 기반 사용자 인터페이스도 지목했다. 바로 토네이도 캐시 공동 창립자가 개발하고는 관리하였으나 범죄 세력이 자금 세탁 목적으로 악용하는 일을 방지할 모니터링 혹은 안전 대책이 없는 인프라를 바탕으로 운영하는 완벽한 중앙화 툴이다. 실제로 검찰은 수사 도중 사용자가 토네이도 캐시로 전송한 거래 금액 93.5%는 블록체인 기반 서비스와 직접 상호작용할 때보다 훨씬 더 간단하게 사용할 수 있는 웹 인터페이스로 보낸 금액이었다.

퍼트세브의 변호인단은 와이어드가 여러 차례 보낸 인터뷰 요청에 답변하지 않았다. 다만, 퍼트세브의 변호인단을 이끄는 키스 쳉(Keith Cheng) 변호사는 사용자가 웹사이트 자체를 우회하여 직접 스마트 계약과 상호작용하거나 자체 인터페이스를 구축한다면, 웹 인터페이스에서 사용자를 모니터링하거나 차단할 지점이 전혀 업을 가능성을 언급했다. 쳉 변호사는 2023년 암스테르담에서 개최된 ETHDam 암호화폐 컨퍼런스에 참석한 청중을 향해 “토네이도 캐시 스마트 계약은 언제든지 직접 접근할 수 있었다”라며, “주변 인프라에 검증 체계를 구축하는 일은 주변을 둘러싼 벽이 없는 문에 잠금 장치를 추가로 설치하는 것과 다를 바 없다”라고 말했다.

네덜란드 검찰은 토네이도 캐시의 합법적인 사용자와 범죄자를 모두 통틀어 전체 사용자 다수가 웹 인터페이스를 통해 접속한다는 사실을 고려하면, 토네이도 캐시 접속 관문에 추가로 제한 사항을 적용할 수 있다고 지적했다. 또한, 퍼트세브가 처음부터 인지했던 시스템에 자리를 잡기로 결정한 것은 퍼트세브가 통제할 수 없는 기본 요소에 포함된다는 점도 주장했다. M. 보어라지 검사는 “무언가 멈출 수 없는 대상 개발과 구축도 결정이다”라고 말했다.
 
[사진=Freepik]
[사진=Freepik]

탈중앙화와 통제 권한 관련 의문점은 토네이도 캐시가 암호화폐 추적을 막는다는 의도가 매우 비슷한 비트코인 포그(Bitcoin Fog), 헬릭스(Helix) 등 간단한 비트코인 기반 암호화폐 혼합 서비스보다는 직접 기소가 훨씬 적은 이유이다. 각각의 초기 사건에서 현재 자금 세탁 음모론으로 유죄 판결을 받은 관리자는 암호화폐 혼합 서비스와의 연결 관계를 숨기는 이유이다. 반면, 퍼트세브와 토네이도 캐시 공동 창립자 집단은 실명에 따라 완벽한 개방 상태로 운영된 토네이도 캐시를 사용한 자금 세탁 세력을 제거할 수 있다고 확신하는 것으로 드러났다. 쳉 변호사는 ETHDam 현장에서 “완벽한 투명성이 정확히 범죄 활동을 시사하는 것은 아니다”라고 전했다.

그와 동시에 네덜란드 검찰은 퍼트세브가 토네이도 캐시에 유입된 수백만, 혹은 궁극적으로 수십억 달러 상당의 탈취 암호화폐가 문제가 되는 일이 없다는 사실을 인지했다는 주장을 펼쳤다. 토네이도 캐시에 유입된 범죄 자산은 2022년 봄에 역대 최고치를 기록했다. 검찰은 토네이도 캐시가 암호화폐 탈취 범죄 36건으로 확보한 탈취 자금 세탁 목적으로 동원될 때도 퍼트세브가 중앙화 프론트엔드처럼 계속 시스템 일부분 개발과 유지 작업을 진행했다고 주장했다. 검찰은 퍼트세브를 비롯한 토네이도 캐시 공동 창립자가 시스템 개발 및 유지 작업 과정에서 계속 소통한 사실도 확인했다. 반면, 토네이도 캐시가 자체 암호화폐 토큰을 발행한다는 부분적 영향으로 훌륭한 수준의 이윤을 기록하면서 결과적으로 퍼트세브가 1,500만 달러 이상을 벌고, 포르쉐 차량을 구매한 사실도 확인됐다.

2022년 3월, 북한 해커 조직이 블록체인 기반 게임인 엑시인피니티(Axie Infinity)에서 6억 달러가 넘는 암호화폐를 탈취했을 당시 세메노브는 퍼트세브와 스톰에게 “매우 큰 재앙이 곧 시작될 것”이라는 내용과 함께 극도의 불안감이 담긴 내용의 메시지를 보냈다. 이미 12곳이 넘는 암호화폐 탈취 조직의 선례대로 추후 대규모 암호화폐 탈취 사건 가해자가 토네이도 캐시를 이용할 가능성을 우려했을 수도 있다. 퍼트세브는 10분간 메시지 내용을 고려하다가 “5일 뒤 공지한다ㅋㅋㅋ”라는 답변을 보냈다. 엑시인피니티 암호화폐 탈취 사실을 발견하는 데 걸린 시간을 언급한 듯하다. 일주일 이내에 엑시인피니티의 암호화폐 탈취 자금 수억 달러가 토네이도 캐시로 충분히 유입되기 시작할 수 있다.

검찰은 퍼트세브의 메시지 중 “ㅋㅋㅋ”라는 표현을 토네이도 캐시 측이 세탁을 돕는다고 주장한 자금 탈취 범죄 피해자를 조롱한다는 징조로 보았다. 퍼트세브의 변호인단은 퍼트세브가 놀라움을 표현한 것뿐이라고 반박했다.

그리고 같은 달 범죄 조직의 토네이도 캐시 사용 사례와 관련하여 쏟아지는 관심이 커지는 상황에 대응하고자 퍼트세브를 비롯한 토네이도 캐시 공동 창립자는 블록체인 분석 기업 체이널리시스(Chainalysis)의 무료 툴을 구축했다. 바로 웹 인터페이스를 통해 제재 대상이 된 비트코인 주소의 거래를 차단하는 툴이다. 네덜란드 검찰은 무료 툴이 기본적으로 제한 사항을 손쉽게 우회할 수 있다는 점을 지적했다. 해커는 탈취 암호화폐를 다른 주소로 이체한 뒤 토네이도 캐시로 전송할 수 있다. 이에, 검찰은 토네이도 캐시가 체이널리시스의 무료 툴을 적용한 노력이 매우 늦은 시기에 적용된 부족한 노력이라고 지적했다.

네덜란드 검찰은 법원에 제출한 공식 성명을 통해 퍼트세브가 실제로 범죄 조직의 토네이도 캐시 악용 가능성을 우려했다면, 체이널리시스의 무료 툴 적용이 아닌 전혀 다른 해결책을 적용했을 것이라고 주장했다. 검찰은 공식 성명에 “가장 간단한 선택은 무엇이었을까? 사용자 인터페이스를 오프라인으로 전환하고, 광고를 중단하는 것이다. 명확하면서도 간단한 방법이다. 서비스 제공을 중단하는 것이다”라고 작성했다.

또, 검찰은 네덜란드 현행법상 퍼트세브가 저지른 것과 같은 규모의 자금 세탁 범죄의 최대 형량이 징역 8년 형이라는 점에 주목하며, 퍼트세브의 유죄 판결 시 징역 5년 4개월 형을 선고해야 한다는 결론을 제시했다.

토네이도 캐시의 선례 시작
프라이버시와 시민의 자유에 초점을 맞춘 암호화폐 옹호론자는 퍼트세브의 사건 판결을 면밀히 지켜볼 것이다. 다수 암호화폐 옹호론자는 이번 사건을 추후 처리할 추가 사건을 포함하여 서양 법률 집행 기관과 규제 기관이 금융 프라이버시와 자금 세탁 간 선을 그을 방법의 전조라고 본다.

미국 뉴욕 법원에서는 2024년 9월경 진행 중인 토네이도 캐시 공동 창립자 사건 재판을 진행할 것이다. 또한, 2024년 4월 기소된 사무라이 월렛 공동 창립자 사건 재판도 시작할 예정이다. 미국 검찰은 토네이도 캐시와 비슷한 프라이버시 특성을 제공한다고 주장한 사무라이 월렛 사건이 미국 법률에서 금융 프라이버시와 자금 세탁 간 경계 구분 측면에서 더 직접적인 선례를 남길 것으로 본다. 인권 보호 재단(Human Rights Foundation) 최고 전략 책임자 겸 인권 보호 목적의 비트코인 사용 지지자인 알렉스 글래드스타인(Alex Gladstein)은 퍼트세브의 사건은 비슷한 사건의 방향을 제시하는 역할을 할 것으로 본다.

글래드스타인은 “네덜란드 법원의 판결이 뉴욕에서 진행할 사건의 방향을 제시할 것이다. 토네이도 캐시 사건은 사무라이 월렛 사건 판결 방향을 형성하는 역할을 할 것이다. 모두 비슷한 사건의 선례를 마련하는 역사적인 사건이 될 것이다”라고 예측했다.

글래드스타인은 다수 암호화폐 프라이버시 지지자와 마찬가지로 토네이도 캐시와 같은 툴의 가치를 중시하는 이들은 쿠바, 베네수엘라, 인도 등 사회 운동가와 반정부 인사가 억압을 일삼는 정권으로부터 금융 거래 활동을 숨기고자 하는 해커가 활용할 가능성을 살펴보아야 한다고 주장한다. 글래드스타인은 “토네이도 캐시와 같은 툴은 인권 운동가에게는 정부가 감시할 수 없는 자산을 보유할 기본 수단이다”라고 언급했다.

퍼트세브 사건이나 로만 스톰 사건 판결을 떠나 토네이도 캐시 운영자에게는 항상 기본 인프라 통제 권한이 없다는 토네이도 캐시 공동 창립자의 핵심 주장이 옳다는 점이 입증될 수 있다. 토네이도 캐시 서비스는 계속 운영된다.

체이널리시스(Chainalysis)에 따르면, 2023년, 미국 정부의 제재와 토네이도 캐시 공동 창립자 두 명의 체포를 계기로 토네이도 캐시의 중앙화 웹 기반 인터페이스 접속 장애가 발생하자 토네이도 캐시 거래량이 90% 하락했다. (토네이도 캐시 공동 창립자 중 한 명인 로만 세메노브는 현재 체포되지 않은 상태이다.) 그러나 토네이도 캐시는 지금도 온라인으로 접속할 수 있는 상태이며, 탈중앙화 스마트 계약 형태로 제 기능을 지원한다. 체이널리시스는 지난 몇 달간 토네이도 캐시의 거래량이 간헐적으로 증가한 사실을 확인했다. 2024년 3월 한 달간 토네이도 캐시에서 거래된 자금은 2억 8,300만 달러 이상이었다.

다시 말해, 금융 프라이버시와 자유를 위한 개방적 활용성이 되었든 통제 불가능한 자금 세탁 수단이 되었든 토네이도 캐시는 운영자나 그 누구도 통제할 수 없는 범위에 있다는 공동 창립자의 핵심 주장이 사실임을 입증해야 한다는 의미이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The $2.3 Billion Tornado Cash Case Is a Pivotal Moment for Crypto Privacy
이 기사를 공유합니다
RECOMMENDED