[CCTV뉴스=조중환 기자] 지금까지 비트코인을 포함한 암호화폐는 거래에 있어 익명성이 보장될 수 있다고 알려져 왔다. 이를 이용해 범죄조직들은 자금세탁이나 불법적인 거래에 악용해 왔고, 해킹으로 도난 당한 코인은 추적이 불가능해 찾을 방법이 없었다.
하지만 이제 이를 극복할 수 있는 방법이 등장했다. ‘체인널리시스 리액터(Chainalysis REACTOR)'는 과연 어떤 방법으로 해킹당한 비트코인을 추적하고 수사기관과 연계해 용의자를 검거하는지 각 사례를 통해 하나씩 확인해 보겠다.
여기서 보여주는 각각의 사례는 지난 2017년에 실제로 발생했던 사건을 모티브로 만들어낸 설정된 이야기다.
사례 #1: 회사원 김모씨는 여느 때와 같이 출근하자마자 컴퓨터를 켜고 메일함을 열어봤다. 국세청이라고 쓰여진 메일에는 첨부파일이 있었고, 파일을 열어 보니 종합소득세 납부 안내였다. 점심시간. 지난 밤 비트코인 시세가 궁금한 김씨는 OO거래소 사이트에 로그인해 시세와 잔액을 확인하고 사이트를 닫았다. 다음날 아침. 거래소 사이트에 접속한 김씨는 0원이 된 자신의 거래소 지갑을 보고 아연실색 했다.
▶ 요즘 공격자들은 불특정 다수가 아닌, 특정 대상을 노리는 ‘스피어 피싱(Spear Phishing)’ 기법을 통해 공격을 한다. ‘스피어 피싱’이란 사회공학의 한 기법으로 발신자를 신뢰할 만한 사람으로 위장해 메일을 발송한다. 해커들이 비트코인 자체를 해킹하기는 거의 불가능에 가깝기 때문에 거래소 관계자 또는, 비트코인 사용자들을 대상으로 공격해 비트코인을 탈취하려고 한다.
이 사례는 비트코인 사용자를 대상으로 한 스피어 피싱 사례다. 해커는 회사원 김모씨에게 자신이 보낸 메일을 국세청이 보낸 메일로 속여, 김모씨가 메일을 열람하고 첨부파일을 확인하게 만들었다. 이로 인해 회사원 김모씨의 PC는 해커가 보낸 악성코드에 의해 감염됐고, 김모씨가 PC로 행하는 행위는 전부 해커에게 전달된다. 이러한 사실을 몰랐던 김모씨는 평소처럼 OO거래소에 로그인해 코인의 시세와 잔액을 확인하고 사이트를 닫았다.
해커는 회사원 김모씨의 PC에 감염된 악성코드를 통해 거래소에 로그인할 때 사용한 ID와 PW를 탈취했다. 해당 계정정보를 통해 해커는 OO거래소에 로그인 했고, 회사원 김모씨의 모든 비트코인을 해커가 사용하는 비트코인 주소로 출금한 사례다.
사례 #2: 3월 어느 날 아침 OO거래소 관리자 박대리에게 공정거래위원회에서 발송한 메일이 도착했다. 첨부된 문서파일을 열어보니 보안에 각별히 유의하라는 내용이었다. 다음날 아침. 거래소 안내전화로 회원들의 항의 전화가 빗발쳤다. 간밤에 지갑이 털렸다는 전화였다. 자체 조사결과 관리자 계정을 통해 3만여 명의 회원정보가 유출 된 사실이 밝혀졌다.
▶ 사례#1과 같이 ‘스피어 피싱(Spear Phishing)’ 기법을 이용한 공격이다. 다만, 사례#1에서는 거래소를 이용하는 개인 회원이 대상이었다면 이번에는 거래소 관계자를 대상으로 한 것이다. 공격의 대상만 달라지고 공격 기법은 같다. 해커는 거래소 담당자가 열어 봄직한 발신자로 속여 악성코드가 담긴 메일을 보낸다.
거래소 관리자가 메일 발신자를 보면 믿을 수 있는 발신자이기 때문에 의심 없이 메일을 열람하게 된다. 그리고 메일에 첨부된 파일을 확인한다.
해당 첨부파일은 문서 파일이지만, 해당 문서 파일을 통해 관리자의 PC는 악성코드에 감염된다. 해커들은 악성 코드 자체를 보내면 공격 대상들이 실행하지 않을 것이고, 보안 솔루션에 의해 탐지될 확률이 높기 때문에 일반 문서 파일을 메일에 담아 보내는 수법을 사용한다.
첨부된 일반 문서 파일 내부에는 해커가 심어놓은 공격 코드가 심어져 있다. 문서 파일을 열어볼 경우 공격 코드가 동작하고 추가적인 악성코드를 감염시켜 본격적인 악성 행위를 시작한다.
이로 인해 관리자의 PC는 감염되고 악성코드가 동작 하게 된다. 악성코드는 관리자 PC의 중요한 정보를 수집한다. 이 중요 정보 중 서버 정보 또는 계정 정보가 포함되면 해당 정보를 통해 서버에 접근하고, 서버 내부의 정보까지 탈취한다. 탈취한 정보에는 회원들의 개인 정보, 계정 정보, 지갑 정보 등이 포함될 수 있다. 해커는 이런 정보를 토대로 거래소에 접근해 회원들의 지갑에 있는 코인을 해커의 개인 지갑으로 출금한다.
사례 #3: 이 두 사건을 접수 받은 사이버사대 김경위는 사건 해결을 위해 고심했다. 사라진 비트코인을 찾기 위해 암호화폐 거래소의 협조도 받아야 하고, 영장도 발부 받아야 하는데 증거를 확보하기 쉽지가 않아서다. 이 두 개의 사건을 해결할 방법은 없을까?
▶ 사건의 용의자들이 탈취한 비트코인을 암호화폐 거래소로 송금해 원화로 환전하기 전까지 끝난 것이 아니다.
암호화폐 거래소에는 각 개인 사용자들의 입금 주소를 가지고 있기 때문에 거래소로 흘러 들어간 정황만 포착되면 용의자를 쉽게 식별 할 수 있다. 하지만 비트코인 주소가 거래소의 비트코인 주소인지 아니면 해커의 다른 개인 비트코인 주소인지 식별하기 어려우며, 거래소의 주소라고 판단된다 해도 전세계에는 수 백개가 넘는 거래소가 존재하기 때문에 어떤 거래소의 주소인지 확인할 수 없다.
이런 문제 때문에 김경위는 어느 거래소에 협조를 받아야 하는지 알 수 없기 때문에 증거를 확보하기란 더욱 어려워진다.
하지만 김경위가 비트코인 추적 솔루션인 ‘리액터’를 사용할 경우 이야기는 달라진다.
리액터에 해커의 비트코인 주소를 넣으면 해당 주소와 관련된 모든 트랜잭션과 비트코인 주소가 나열되고 시각화돼 보여진다. 사례#1과 사례#2에서 유출된 비트코인이 해커의 개인지갑으로 들어온 트랜잭션을 포함해 모든 트랜잭션 정보를 확인할 수 있게 된다.
또한 해커가 탈취한 비트코인을 받은 주소에서 다른 많은 주소로 비트코인을 분산한다 해도 해당 분산 과정이나 합산 과정을 전부 시각화 그래프로 확인할 수 있다. 또한 ‘리액터’는 해외나 국내 거래소의 비트코인 주소 정보를 갖고 있기 때문에 해커가 거래소를 통해 비트코인을 원화로 환전하려는 정황을 포착해 어느 거래소의 어떤 입금 주소로 비트코인을 송금했는지 확인 할 수 있다.
김경위는 이런 기능을 가진 ‘리액터’를 사용해 해커가 탈취한 비트코인의 환전을 위해 국내 B거래소에서 관리하는 비트코인 주소로 비트코인을 송금한 내역을 포착했다. 김경위는 이 정보를 통해 B거래소와 협조해 해당 비트코인 주소를 사용하는 사용자 A의 정보를 확인했고, A가 최근에 많은 양의 비트코인을 송금 받아 현금으로 환전한 증거를 확보했다. 김경위는 이 증거를 통해 영장을 발부 받아 A의 자택 등을 수사했고, 공격에 사용한 툴과 여러 증거를 확보해 A를 용의자로 검거하는데 성공했다.
▲ 2018년 말까지 30개의 암화화폐 추적 가능한 솔루션 구축
이처럼 각각의 사례들에 대해 추적이 가능하게 하는 체인널리시스 리액터의 주요 기능은 총 여섯 가지로 정리 할 수 있다.
비트코인 지갑 주소를 이용한 트랜잭션 추적: 비트코인 지갑 주소를 통해 손쉽게 트랜잭션을 분석할 수 있으며, 범죄(사기, 도박, 랜섬웨어 등)에 악용된 지갑 주소를 검색해 수사에 활용할 수 있다.
트랜잭션 연관 분석: 모든 트랜잭션에 대한 연관성을 그래프를 통해 분석할 수 있으며, 시각화된 데이터를 통해 한눈에 트랜잭션 경로를 파악할 수 있다.
트랜잭션 통계 표시: 전체 트랜잭션에 대한 통계 분석을 통해 비트코인 송/수신 내역을 한눈에 파악할 수 있다.
트랜잭션 상세 분석: 특정 트랜잭션에 대해 어떤 비트코인 주소에서 송수신이 이뤄졌는지, 비트코인 거래량이 얼마인지 상세 분석이 가능하다.
비트코인 지갑 주소(IP)를 이용한 경로 추적: 비트코인 지갑에서 사용되는 소프트웨어를 분석해 IP 주소를 추출하고 이를 통해 비트코인 트랜잭션 발생시 나라별 이동 경로를 분석할 수 있다.
인텔리전스 분석을 통한 범죄 추적: 분석대상 지갑 주소가 범죄에 악용된 지갑인지 전 세계 SNS를 통해 조회해 범죄 여부를 분석할 수 있다.
생각하고 싶진 않지만 각 사례별 상황들은 우리의 일상에서 언제든 일어날 수 있는 일들을 다루고 있다.
이 같은 사례를 우려한 일부에서는 비트코인이 해커들의 타깃이 되고, 각종 범죄의 수단으로 사용되고 있다는 것을 확대 해석해 암호화폐 전체를 악으로 규정하는 경우도 있다.
하지만 빛이 있기에 어둠 또한 존재하는 것이다. 지금까지 우린 인터넷을 이용한 새로운 종류의 범죄들이 등장한다고 해서 우리는 인터넷을 악의 축으로 규정하지 않았다. 오히려 발전 가능성과 효용 가치를 확장하기 위해 이에 대응하는 각종 보안 솔루션을 개발해 왔다.
제2의 인터넷이라 불리는 블록체인 또한 과거의 인터넷이 정착할 때와 같이 홍역을 치르고 있는지 모른다. 확실한 것은 지금까지 그래왔듯이 암호화폐의 음성적인 영역이 대대 될 때 마다 그에 대응하는 리액터와 같은 해결책 또한 계속 등장할 것이라는 사실이다.
2018년 3월 현재 기준 ‘리액터’는 아직 비트코인과 비트코인 캐시에 한해 추적이 가능한 상황이지만, 체인널리시스 측은 올해 9월까지 10개, 올해 말까지 30개의 암호화폐를 분석 추적할 수 있도록 기능을 확장해 나갈 계획이다.
앞으로 암호화폐의 투명성을 제고하고, 다크넷의 저격자가 될 ‘체인널리시스 리액터’의 행보에 주목해 본다.
