비트코인 익명성에 대한 탈익명화

제4장 비트코인 악용 범죄에 대한 대응방안

채용 웹사이트에 게재했다. 이 채용 공고는 유로폴이 사이버첩보팀 을 지원하는 ‘오픈 소스 수집 및 분석’ 프로젝트를 위한 것이다. 물 론 지원자는 ‘기본적으로 비트코인 거래 속성을 잘 이해하고 추적할 수 있어야 하며 블록체인 기술에 관심이 있어야한다’ 라는 조건이 있지만, 이 채용 공고를 살펴보면 유로폴이 비트코인 거래를 ‘OSINT (공개출처정보)’ 라고도 불리는 ‘오픈 소스 인텔리전트’ 기술을 포함하 는 수사지원을 통해 추적하려는 것을 알 수 있다. 즉, 인턴으로 채용 되면 사이버범죄팀의 OSINT 전문가의 지원을 받는다.⁶¹⁾

유로폴의 공고문에서 알 수 있듯이 범죄수사 관점에서는 비트코 인 특유의 기술적 익명성으로 인해 일반적인 금융거래추적과는 다 른 추적의 어려움이 존재한다. 그럼에도 불구하고 비트코인 악용 범 죄에 대한 수사를 진행할 경우, 다양한 접근방법을 통해 관련 범죄 수사의 기초 단계라 할 수 있는 비트코인 거래 추적을 반드시 수행 하여야만 한다.

예를 들어, 비트코인을 거래수단으로 악용한 마약사범들의 경우 판매자와 구매자들 간의 전형적인 범죄자의 행동, 소비/구입 습관, 동일한 범죄자에 속하는 다수의 계좌 간 비트코인의 흐름, 범죄자의 의도적 또는 비의도적으로 누설된 비트코인 주소, 공공 사회 네트워 크를 포함하는 모든 접근 가능한 정보를 최대한 활용하여 비트코인 에 대한 거래 추적에 대해 시도가 가능하다.

1.1.2. 비트코인 거래시스템에서 획득할 수 있는 거래정보

비트코인 거래시스템은 완전한 수준의 익명성을 제공하고 있다

61)

http://www.coindesk.com/europol-is-recruiting-an-intern-with-bitcoin-skills/, Joon Ian Wong, Europol Seeks Intern With Bitcoin Tracing Skills, 2015. 11. 23. 방문

고 볼 수는 없다. 비트코인 주소와 개인정보를 연결 짓는 고리가 결 여되어 있을 뿐, 블록체인에 등록된 비트코인 주소의 모든 거래는 연결되어 표시되기 때문이다. 즉, 불법적인 목적으로 비트코인이 이용 되기 위해서는 현금과 같이 거래 자체에 대한 기록이 남지 않아야 하 는데 비트코인 간의 거래는 인터넷에 모두 공개되기 때문이다. 어떠 한 형때로든 흔적을 남기는 범죄는 거래 증적의 추적을 통하여 최 초 거래자 혹은 범죄 혐의자를 인지할 수 있는 여지를 항상 남겨두 게 된다. 따라서 비트코인의 익명성에 대응하기 위해서는 접근 가능 한 다양한 디지털 흔적이나 노출된 정보 등에 대한 분석이 필요하 다.

비트코인 거래내역을 추적하기 위해서는 비트코인 주소와 개인정 보를 연결 짓는 고리점을 찾아내는 것이 우선인데, 범죄혐의자가 범 죄 수단으로 사용하는 비트코인 주소들의 관계 분석(비트코인 주소 는 여러 개를 동시에 생성할 수 있으므로)을 통해 거래 흐름의 최종 종착지로 수렴되는 혐의자의 비트코인 주소를 파악하여 피의자를 특정할 수 있는 루트(route)를 찾는 것이 필요하다.

비트코인 악용 범죄자들은 개인 정보를 최대한 은폐하기 위해 사 람들은 자신들이 원하는 만큼의 주소를 만들고, 이것은 동일한 사람 과의 거래가 다시 이어지는 것을 어렵게 하는 상황을 자주 살펴볼 수 있다. 만약 더 강력한 개인 정보의 은폐를 원한다면 그 비트코인 들을 한 풀에 모두 넣어 섞은 후 새로운 주소를 뽑아 주는 제3자를 통해 세탁을 하는 방법을 사용할 수도 있다.

그러나 이러한 경우에도 블록체인의 마이닝 데이터를 활용하여 특 정 개인의 주소 목록에 연결을 시도할 수 있다. 예를 들면, 소비 습 관을 분석하거나, 한 주소에서 다른 이에게 보내진 거래의 변화 등 블록체인 외의 정보를 사용하여 이러한 주소 목록을 알 수 있다.[13]

1.1.3. 비트코인 블록체인을 통한 획득 가능 정보

기존 금융거래내역을 획득하기 위해서는 금융거래 명의인인 당사 자의 동의가 있거나 필요시 법원에서 발부된 금융거래내역추적용 압수수색검증영장을 통해서 해당 금융거래내역을 확보할 수 있다.

기존의 금융 업무 및 지불 체계와 달리 비트코인 시스템이 분산 된 신뢰 네트워크를 기반으로 하고 있지만 비트코인 시스템 내에서 는 거래추적이 필요한 비트코인 주소 중에 한 개만 알고 있어도 그 주소를 기점으로 하여 블록체인을 통해서 역으로 관련 비트코인 주 소를 추적해 나갈 수 있다. 왜냐하면 비트코인 거래 한 건은 분산화 된 합의(distributed consensus)라는 비트코인 메커니즘에 의해 ‘신뢰’

를 얻고 승인을 받은 후 기존의 거래내역 전부가 담긴 분산 장부인 블록체인에 최종적으로 기록되기 때문이다.

따라서 기존 금융거래추적처럼 영장의 발부 없이 비트코인 거래 내역의 검색 엔진 역할을 하는 ‘블록체인 탐색기(block chain explorer)’ 라는 웹 어플리케이션을 활용하는 것만으로도 기본적인 거래내역의 추적은 가능하다. 물론, 익명성을 띤 고유할 식별번호로 이루어진 비트코인 주소들 사이의 거래 연결을 확인하는 것을 의미 한다.

블록체인 탐색기(block chain explorer)는 비트코인 네트워크와 블 록체인을 통해 거래를 추적하면서 각 단계를 눈으로 볼 수 있는 서 비스를 제공하는데, 비트코인 주소·거래내역·블록 등을 찾아볼 수 있고 이들 간의 관계 및 흐름을 알 수 있다. 여기에는 블록체인 탐 색기 블록체인 인포(Blcokchain info), 비트코인 블록 익스플로러 (Bitcoin Blcok Explorer), 인사이트(insight), 블록아르 블록리더 (blockr Block Reader) 등이 있다. 각 서비스는 비트코인 주소를 블 록 번호 같은 정보의 검색을 통하여 비트코인 네트워크와 블록체인 상에서 관련 데이터를 찾아낼 수 있다.[22]

대표적인 블록체인 탐색기인 블록체인 인포(Blcokchain info)를 살

펴보면 아래 <그림 16>과 같이 실시간으로 모든 비트코인 거래를 기록, 표시해 두기 때문에 모두에게 데이터를 제공가능하다. 블록체 인 웹사이트에서는 현재까지 생성된 블록체인의 수(블록 높이), 각 각 생성된 블록 안에서 거래된 내역 및 거래량 등의 정보를 확인할 수 있다. 또한 최근거래내역은 해당 사이트 아래 부분에서 실시간으 로 업로드가 되고 있다. 특정 비트코인 주소가 거래된 내역을 확인 하기 위해서는 해당 사이트 중간부분에 있는 세부거래정보 검색창 을 통해서 특정 비트코인 주소를 입력하고, 검색을 하게 되면 특정 비트코인 주소와 연결되는 기존의 거래내역을 확인할 수 있다.

<그림 16> 블록체인 인포 사이트

따라서 비트코인 주소와 개인정보가 연결되는 사례가 나오게 될 경우 해당 비트코인 주소에서 발생한 과거 거래내역이 특정인의 거 래내역으로 공개되는 효과를 갖게 된다. 가령, 온라인 상점에서 한 사용자가 비트코인을 이용하여 상품을 구매하였을 경우 이 사용자 의 개인정보(배송 주소, 이름 등)가 해당 비트코인 주소와 연계되므 로 이용자의 과거 거래내역 모두가 그 상점 측에 공개되는 것과 같

은 효과를 얻게 되는 것이다.

이와 같은 방식으로 마약 및 무기 거래, 자금세탁 등 범죄혐의가 의심되는 비트코인 주소를 특정하게 되면 특정된 비트코인 주소를 통해 관련 의심 거래되는 비트코인 거래내역을 획득할 수 있게 된 다. 따라서 그 획득된 주소를 통해 추가적으로 증거력이 있는 거래 내역분석이 가능하게 된다.

예를 들어, 마약 구입자가 인터넷검색을 이용하여 마약 관련 판매 광고 게시물을 올린 사이트나 블로그에 접속한 후, SNS를 통해 마 약 판매자와의 연락을 통해 마약을 구입하고자 한다면, 판매사범이 지정하는 비트코인 주소로 비트코인을 입금하는 경우 최초 마약 구 입자의 비트코인 주소를 블록체인 탐색기를 이용하여 검색하게 된 다면 마약 판매자의 주소가 연결되어 있음을 확인할 수 있다.

여기서 해당 마약 판매자의 비트코인 주소에 연결되어 있는 다른 거래 내역을 역으로 계속 추적해 간다면 비트코인 주소들 간의 관 계분석을 통해 특정 마약 범죄에 관련된 다양한 비트코인 주소들을 확인할 수 있을 것이다. 물론, 추가적으로 마약 범죄와 연결되는 거 래로 의심되는 비트코인 주소를 특정하더라도 그 주소의 이용자에 대한 개인 정보를 알아내는 것은 위에서 언급한 바와 같이 별도의 확인과정이 필요하다.

1.1.4. 비트코인 거래소를 통한 획득 가능 정보

일반적으로 마이닝을 통한 비트코인 획득이 매우 어려운 상황에서 신규로 비트코인을 취득하려면 거래소를 통해 구매하는 것이 현 단 계에서 가장 현실적인 방법이다. 집단이 아닌 개인의 마이닝 과정을 통한 비트코인 축적은 사실상 불가능해졌으며, 재화나 용역의 대가 로 비트코인을 획득할 수 있는 것도 사용자 일부에 국한될 것이다.

따라서 범죄자가 비트코인을 거래소를 이용하여 구매 및 환전하

거나, 불법 물품을 판매한 뒤 비트코인을 획득하는 방식을 취하는 과정에서 거래소 혹은 물품 판매 공간이 제공하는 익명성 정도에 따라 일정한 절차를 통해서 개인정보가 공개될 수 있는 경우 범죄 자를 추적할 중요한 단서가 존재하게 된다. 이는 비트코인이 불법적 거래로 악용될 수 있는 여지를 차단하는 매우 유용한 수단을 정책 당국 및 수사기관 등에 제공하게 된다. 비트코인의 익명성으로 인해 개인 간 불법적 비트코인 거래는 현실적으로 단속하기 어렵겠지만, 비트코인 산업들을 매개로 하여 불법적 거래 활용의 가능성을 크게 축소시킬 수 있을 것이다. 예를 들어 금융당국은 비트코인 거래소들 이 이용자들의 실명이나 은행계좌를 확인하는 절차 과정에 대해 법 적으로 강제하여 비트코인을 통한 자금세탁, 탈세 등의 불법적 활용 을 큰 폭으로 축소시킬 수 있을 것이다.

① 비트코인 사용자의 IP주소

모든 비트코인 거래들은 사용자들의 인터넷 프로토콜(IP) 주소와 연계되기 때문에 사용자들의 물리적 주소와 비트코인 사용 내역의 연계가 가능하다.

통상적으로 보이스피싱, 인터넷 물품사기, 아이템거래 사기 등의 경우 접속기록을 통하여 IP주소를 확인한 후, 동시간대 당해 IP주소 를 통하여 접속한 다른 사이트(포털 또는 게임 사이트)의 명의자를 확인하여 인적사항을 추적하게 된다.

비트코인 거래의 경우에도 위와 같은 IP주소 추적 기법을 사용하 여, 비트코인 거래소의 접속기록에서 불법거래와 연관된 IP주소를 확인한 후, 동시간대 당해 IP주소를 사용하여 접속한 다른 사이트 (포털 또는 게임 사이트)의 기록을 확인하고, 비트코인 거래자를 추 적하여 불법거래자의 신원의 확인이 가능하다.

사용자의 경우에도 위와 같은 IP추적 기법을 통하여 추가적인 인