암호화폐와 자금 세탁
믹싱은 근본적으로 해결될 수 있을까
이 글은 최근 암호화폐에서 화두가 되고 있는 클레이튼과 해치랩스, 스테이클리, 크래커랩스의 클레이 현금화 과정에서 생긴 믹싱이라는 개념에 대해 설명하기 위한 글이다. 글을 통해 블록체인 개발자들과 보안 업체에서 악용을 방지하는 솔루션을 개발하길 바라는 마음에서 글을 적는다.
믹싱(Mixing)이란?
믹싱은 말 그대로 섞는다는 걸 뜻한다. 자금의 흐름을 섞어버려 어디서 시작해서 어디로 가는지 알지 못하게 하는 것이다. 자금을 A에서 B로 보낼 때 이 과정을 감추기 위해 자금 세탁이라는 표현을 쓰고, 실제로 온갖 장치를 통해 돈의 출처와 목적지를 알지 못하게 하고, 깨끗하게 세탁된 돈을 넣는 것처럼 말이다. 믹싱은 믹서(Mixer)라는 주체를 통해 자금을 갈고, 섞어 원하는 특정한 위치까지 보내게 된다.
믹싱의 메커니즘은 매우 간단하다. 아래의 예시를 통해 가장 보편적인 방법을 살펴보자.
목표:
A의 비트코인을 B에게 전달
순서:
1. A는 비트코인을 믹서의 지시에 따라 여러 지갑으로 비트코인을 이체한다.
2. 믹서가 관리하는 수십에서 수백 개의 지갑으로 보내진 비트코인은 믹서를 통해 다시 수십에서 수백 개 이상의 지갑으로 나눠져 이동된다.
3. 이때 전송되는 비트코인의 물량은 무작위이며, 출처를 알 수 없는 온갖 곳을 거치며 이동한다. 이 지갑을 통칭해 C라고 부르자.
4. B에는 비트코인이 입금되는데 이때 A가 보낸 비트코인이 아닌 믹서가 보유한 다른 비트코인 지갑에서 B로 이동된다. 즉 믹서가 A의 비트코인이 믹싱 된 C가 아닌 믹서가 소유한 D지갑 중에서 B로 이체된다.
5. 결과적으로 믹싱을 사용하면 A와 B 사이의 인과 관계를 알 수 없다. A는 C로 보냈고, D는 B로 보냈다.
위의 순서를 살펴보면 믹서는 A가 보내려는 만큼의 물량을 가지고 있어야 B에게 보낼 수 있는 것으로 보인다. 당연하게도 믹서는 해당 물량을 가지고 있다. 이유는 믹싱을 할 때 자신의 자금만으로 하지 않고, 믹서 자체로 투자금을 유치하거나 여러 고객들의 자산을 관리하면서 예치된 암호화폐가 송금량보다 언제나 넉넉하다.
그렇기 때문에 출처를 감추기 위해 A에서 최종적으로 B로 도착되는 경로는 사용하지 않고, 자신의 다른 지갑을 통해 B로 자금을 보내게 된다. 설령 B로 보낼 자금이 부족할 만큼 큰 금액이 이동되어야 한다면 시간의 차이를 두거나 암호화폐를 대출하거나 같은 믹서들끼리 일부 자금을 공유하기도 한다.
이 방법이 무서운 이유는 첫 번째로 수사 당국이 알 수 있는 정보는 A의 자금 출금했다는 사실이고, 그 대상은 어디인지 아는 게 매우 어렵다는 점이다. A의 자금이 나간 곳만 가지고 수사를 진행해야 하고, 믹서의 지갑이 어디서부터 인지 알기도 어렵다. 또한 암호화폐 지갑은 특정 인물을 지목하는 게 불가능에 가깝다 보니 무작위로 생성된 수백, 수천 개의 지갑 목록을 분석하는 일은 고통스러운 일이다.
'A가 자금을 출금한 것만 잡으면 결과적으로 자금 세탁을 잡을 수 있는 것 아니냐'라고 쉽게 생각하는 사람도 있다. 그러나 모든 상황이 이체를 선명하게 증명하진 못한다.
예를 들어 "AA 기업"이 소유한 비트코인 2000개를 누군가가 여러 지갑으로 이체했다고 가정해 보자. 해당 기업의 지갑 보안이 제대로 이뤄지지 않아 정확히 누가 보낸 것인지 특정하지 못하고 있다. 그런 경우에 수사 당국은 기업의 오너를 범인이라 확정하고 수사를 진행할 수 있을까? 기업의 오너가 법인 소유 암호화폐를 특정인에게 보내거나 횡령한 것이라는 증거를 어떻게 찾을 수 있을까? 아니면 이것이 오너가 아니라 직원이 한 소행이라면 직원의 횡령이 되고, 목적지는 완전히 달라지는데 수사의 방향은 어디로 가야 할까?
믹싱 방법이 무서운 두 번째 이유는 믹서가 누구이며 믹서가 얼마의 수익을 거두는지 알 수 없다. 한 번 A를 벗어나 송금되기 시작한 비트코인은 어디서부터 어디까지가 믹서의 지갑이고, 믹서와 파트너십이 있는 사람의 지갑이며, 누가 믹서의 투자자이고, 누가 A의 목적지가 되는 지갑 B인지 명확히 알 수 없다. 또한 이 과정에서 몇 퍼센트의 비트코인이 믹서에게 최종적으로 들어가는지 아는 것은 불가능에 가깝다. 결과적으로 암호화폐 지갑에서 지갑으로 넘어가기 시작하는 순간 폭주기관차처럼 이체가 시작되며, 출처를 알 수 없는 온갖 곳을 향해 비트코인이 섞이고 섞인다.
이 글을 보는 사람 중엔 '비트코인은 이체가 느리고, 수수료(가스비)가 크니 찾아낼 수 있는 것이 아닌가?'라고 생각할 수 있다. 안타깝게도 믹서는 바보가 아니라 이체 속도가 초단위로 진행되고, 이체 수수료가 거의 발생하지 않는 코인을 사용해 믹싱 한다.
또 다른 의견도 있을 수 있다. '결과적으로 B로 돈이 들어간다면 B의 현금화에서 답을 찾을 수 있지 않을까?'라고 생각할 수도 있다. 실제로 B의 현금화 과정이 쉽지 않고, 이 과정에서 불법적인 사람들이 섞이기 때문에 돈을 잃을 각오를 해야 한다. 아직은 암호화폐가 현금처럼 쓰이지 못하기 때문에 큰돈이 입금되거나, 큰돈에 해당하는 암호화폐가 업비트, 빗썸과 같은 중앙화 거래소 지갑에 들어온다면 바로 국세청은 이를 바탕으로 세무조사를 할 수 있을 것이다. 그렇기 때문에 영화에도 자주 나오는 불법적인 곳에서 암호화폐를 통해 현금을 바꾸어 현금화하거나, 금액을 매우 소액으로 나누어 필요할 때만 사용하는 용도로 쓰기도 한다.
이 글에서는 믹싱과 자금 세탁이라는 주제에 대해 쉽게 적어봤는데, 이 분야는 모든 분야와 마찬가지로 공격자와 방어자가 계속 발전하고 있다.
믹싱을 서비스 형태로 제공되기도 하고, 반대로 이를 검증하고 블록체인의 무결성과 보안, 자금 운용의 비정상적 행동을 감지하는 기관도 계속 늘어나고 있다. 암호화폐는 시대를 바꿀만한 도구이지만 동시에 많은 허점과 이를 악용할 여지가 곳곳에 산재해 있다. 이를 제대로 감시하고 이해하는 사람들이 많아져야 하고, 이와 같은 깨끗한 자산이동이라는 수요가 앞으로 블록체인 시장에서 개발의 근간으로 사용될 수 있을까 궁금하다.
