By ANDY GREENBERG, LILY HAY NEWMAN, WIRED US

‘돼지 도살(pig butchering)’이라고 알려진 암호화폐 스캠이 연간 수백억 달러를 탈취할 정도로 완성된 범죄 산업으로 규모가 급격히 커지자 범죄 생태계 전체가 암호화폐 스캠을 중심으로 형성되었다. 암호화폐 스캠 하위 산업은 공격 대상을 찾고 속일 툴과 데이터, 탈취 자금을 다른 자산으로 전환할 자금 세탁 서비스를 제공한다. 심지어 인신매매 피해자를 감금하고는 강요하여 스캠 범죄에 동원하도록 노예로 삼는 감금 수단도 제공한다.

세계에서 급격히 증가한 돼지 도살 범죄를 실현하는 하위 산업 서비스를 후이원 개런티(Huione Guarantee)라는 캄보디아 온라인 공간에서 발견한 새로운 연구 내용이 공개되었다. 후이원 개런티는 캄보디아를 통치하는 한 가문의 기업과 부분적인 관계가 있다.

2024년 7월 10일(현지 시각), 암호화폐 추적 기업 엘립틱(Elliptic)이 암호화폐 스캐머 사이에서 후이원 개런티를 대대적으로 사용한다는 사실을 깊이 분석한 내용을 담은 연구 보고서를 발행했다. 후이원 개런티는 사용자가 암호화폐 테더로 텔레그램 메시지 서비스 거래를 지원하는 P2P 거래 예금 및 에스크로 서비스를 제공하면서 같은 사용자를 범죄 표적으로 삼는 일을 막았다. 엘립틱은 후이원 개런티의 목록 분석과 간혹 공개되지 않은 판매자와 대화하기도 하면서 테더 블록체인에서 판매자의 주소로 송금된 내역을 추적한 끝에 후이원 개런티 설립 3년 만에 총 110억 달러가 거래된 사실을 찾아낼 수 있었다. 3년 누적 거래량 110억 중 34억 달러는 2024년 거래된 것으로 나타났다.

엘립틱은 주로 후이원 개런티에서 발견할 수 있는 제품과 서비스의 중국어 공개 광고를 바탕으로 후이원 개런티의 거래량 대부분 돼지 도살 서비스 거래임을 확인했다. 엘립틱 공동 창립자 겸 수석 과학자 톰 로빈슨(Tom Robinson)은 “후이원 개런티가 처음부터 돼지 도살 스캠 범죄자를 지원할 서비스 제공을 염두에 둔 채로 개설되었는지는 확실하지 않다. 그러나 주로 온라인 스캐머의 마켓플레이스 역할을 한 것인 분명하다”라고 설명했다. 로빈슨은 엘립틱이 후이원처럼 암호화폐 스캐머가 주로 사용하는 플랫폼 10여 개를 알고 있으나 후이원 개런티처럼 규모가 큰 곳은 없다고 말했다. 그는 “후이원 개런티는 지금까지 찾아낸 불법 암호화폐 거래 공개 플랫폼 중 규모가 가장 큰 곳이다”라고 전했다.
 
일부 추산 결과를 기준으로 보았을 때 2020년 초부터 2024년 2월까지 돼지 도살 사기는 무려 750억 달러에 육박하는 순수 가치를 기록했다. 2024년 4월, 미국 연방수사국(FBI)은 2023년 기준 미국 내 신고된 암호화폐 투자 사기 피해 금액이 39억 4,000만 달러에 육박한다고 발표했다. 피해자가 암호화폐를 매수하고는 범죄자에게 돈을 송금하도록 꾀어내는 사기꾼은 종종 다른 한 편으로는 복잡하게 형성된 강제 노동 피해자이기도 하다. 인신매매로 돼지 도살 스캠에 동원할 이들을 한곳에서 지내도록 하면서 피해자를 속일 의도로 콘텐츠를 생성하도록 강요하는 범죄 피해 사례는 미얀마, 필리핀, 캄보디아 및 동남아시아 일부 국가에서 신고되었다.

후이원 개런티의 암호화폐 스캠 제공 서비스는 돼지 도살 산업의 전체 먹이 사슬로 확대되었다. 엘립틱은 인신매매 범죄에 동원하여 피해자가 동남아시아 전역의 암호화폐 스캠 조직에서 스캠 작전에 가담하도록 노예로 삼는 데 사용하는 충격을 가하는 GPS 추적 족쇄와 전기봉이 후이원 개런티의 판매 상품으로 등록된 것을 확인했다. 잠재적 스캠 피해 표적 데이터와 가짜 투자 웹사이트부터 피해자의 송금을 유도하는 설득 수법, 스캠 피해자를 속일 의도로 설계된 딥페이크 얼굴 변경 서비스까지 판매 목록에서 발견했다. 마지막으로 스캐머가 탈취한 테더를 다른 자산으로 전환하고 출처를 숨길 의도로 제공하는 후이원 개런티에 광고가 게재된 자금 세탁 서비스도 찾아냈다. 테더는 후이원 개런티의 거래 자산 비중 다수를 차지하는 자산이다.

로빈슨은 “후이원 개런티의 암호화폐 스캠 범죄 세력을 대상으로 한 제품과 서비스 판매가 돼지 도살 스캠 규모 증가 추세를 견인한 요인 중 하나라고 추측한다. 후이원 개런티의 서비스 영향으로 스캐머가 피해자의 상세 연락처 정보를 확보하거나 이동통신 장비를 구축할 필요성, 스스로 스캠 자금을 세탁할 필요성이 사라졌다. 암호화폐 스캠 범죄에 필요한 모든 수단을 후이원 개런티 커뮤니티에서 얻을 수 있다”라고 설명했다.

와이어드는 후이원 그룹 웹사이트에 등록된 공식 이메일 주소와 일부 경영진에게 의견 공개 요청 메일을 보냈으나 어떠한 답변도 받지 못했다.

복수 암호화폐 범죄 연구 전문가는 후이원 개런티 외에도 돼지 도살 작전에서 각종 코드와 범죄 수단 유통과 재사용이 이루어진 신호를 포착했다고 말한다. 소포스(Sophos) 최고 위협 연구원 션 갤러거(Sean Gallagher)는 가짜 암호화폐 투자 플랫폼과 거래소 여러 곳에서 피해자를 속여 자산 송금을 유도할 의도로 같은 코드가 기본적으로 적용된 사실을 발견했다. 갤러거는 “다른 도메인 명칭을 사용하는 다른 인프라에서 같은 코드를 실행하는 키트를 여럿 발견했다”라고 말했다.

로빈슨은 엘립틱이 후이원 개런티에서 제공하는 스캠 관련 제품과 서비스를 판매하는 것으로 밝혀진 VIP 텔레그램 채널 몇 군데는 잠입할 수 없다는 사실에 주목했다. 이는 엘립틱이 일부 판매자의 테더 주소를 식별할 수 없었다는 점에서 2021년부터 110억 달러가 거래되었다는 수치가 실제 후이원 개런티의 전체 사업 규모보다 적은 수준이라는 의미이다. 중국어로 작성된 광고 때문에 깊이 침투하기 어려웠으나 후이원 개런티에서 성행하는 암호화폐 스캠 제품 및 서비스 거래 사업은 주로 공개적으로 진행된다. 예를 들어, “빠르게 죽인다”라는 표현은 금융 스캠을, “제어가 안 되는 개”는 탈출 시도를 하는 것으로 보이는 인신매매 피해자를, “개 입양자”는 암호화폐 스캠 조직에 몸담은 이를 의미한다.

후이원 개런티가 캄보디아 재벌 가문 기업인 훈 마넷(Hun Manet) 캄보디아 총리 가족과 관련이 있는 기업을 포함한 여러 기업을 소유한 후이원 그룹이 운영한다는 사실을 고려하면, 범죄 거래의 공개적인 특징은 모두 충격적이다. 후이원 그룹 경영진 중 한 명이자 훈 마넷 총리의 사촌인 훈 토(Hun To)는 중국 국적자 두 명이 소유한 캄보디아 대기업 헝허(Heng He)의 소유로 알려진 암호화폐 스캠 조직과 관련성이 있다는 의혹으로 진행된 알자지라의 조사와 연관이 있는 인물이다.

암호화폐 스캠 연구팀은 후이원 개런티가 거대한 규모와는 달리 돼지 도살 스캠 세력이 사용하는 여러 자금 세탁 수법 중 하나에 불과하다고 말한다. 사이버 보안 기업 정보 책임자 개리 워너(Gary Warner)가 주목한 바와 같이 돼지 도살 생태계 상당수가 중국 조직 범죄와 관계가 있다는 사실을 고려했을 때 돼지 도살 범죄 수익 세탁은 종종 신원을 믿을 수 있는 중국인 개인이 탈중앙화 방식으로 진행하며, 소액의 수수료를 받고 알리페이 개인 계좌로 세탁을 마친 암호화폐를 건넨다. 그러나 후이원 개런티와 같은 시장은 종종 의존할 만한 자금 세탁 네트워크가 없거나 자금 출처를 숨길 다양한 방법이 필요한 스캠 세력이 자금 세탁 목적으로 접근하는 경로이다.

후이원 개런티가 2021년부터 운영된 점은 코로나19 당시 암호화폐 스캠이 급증했다는 점에서 크게 놀라운 일이 아니라고 볼 수 있다. 갤러거는 캄보디아에서 돼지 도살 작전이 2020년과 2021년 관광 산업 가치 폭락으로 난항을 겪은 호텔과 리조트에서 대규모로 운영된 사실에 주목했다. 그는 “돼지 도살 스캠 조직의 비용은 일대일로 정책과 연결된 특별 경제 구역과 기타 개발 계획과 관련이 있는 중국 기업의 지원을 대거 받거나 중국 기업이 직접 소유했다”라고 설명했다. 갤러거의 연구팀이 발표한 연구 결과는 캄보디아에서 인신매매로 돼지 도살 스캠에 동원된 피해자 대부분 캄보디아 시민권자가 아니지만, 주변 국가에서 캄보디아로 들어왔다는 결론을 내렸다. 갤러거는 “인신매매 피해자를 감금하여 돼지 도살 스캠을 운영하는 조직은 여권을 압수한 뒤 조직 규정을 위반할 때는 전기 충격, 전류가 흐르는 소몰이 막대 및 기타 체벌을 동원하는 똑같은 전략을 펼친다”라고 설명했다.

암호화폐 스캠 산업이 매년 수십억 달러를 거래하도록 지원하는 서비스와 캄보디아 내 가장 영향력이 있는 가문과 관련된 사실 외에도 로빈슨은 암호화폐 업계의 기조연설을 무력화할 기회를 부여하는 뻔뻔함도 충격적이라고 전했다. 로빈슨은 후이원 개런티 대표를 대상으로 한 국제 제재를 제안했다.

로빈슨은 “후이원 개런티의 실태는 다크넷 마켓플레이스의 모습을 공식적으로 나타낸다. 그러나 캄보디아 집권 가문과 관련된 캄보디아 재벌 가문이 주로 운영한다”라며, “암호화폐 스캠 범죄 제품 및 서비스 거래 사업을 제재 시행 범위로 추가한다면, 비슷한 다크넷 마켓플레이스 운영이 어려워질 것이 분명하다”라고 전했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The $11 Billion Marketplace Enabling the Crypto Scam Economy