‘1000가지 어둠의 경로’…그 놈이 훔친 코인들은 어디로 흘러갔나

러시아 거래소 대표 사칭해 ‘고수익’ 미끼
해킹범 지갑 속 ‘1000여건’ 거래 자금세탁
한국 피해자들에게 탈취한 코인 ‘믹싱&텀블링’
바이낸스·크라켄 등 해외 거래소로 돈 빼돌려


#얼마 전부터 보험설계사라는 심현송(50·가명)을 작업하고 있다. 그가 개인 블로그에 올린 재테크 정보를 지켜보다 카톡 대화를 시작했다. 나는 그에게 러시아에서 암호화폐 거래소인 ‘페이어’(Payeer)를 운영 중인 대표라고 소개했다. “고수익 투자 정보를 알려줄 수 있다”고 떠보니 관심을 보인다. 나는 그에게 ‘거래소 재정거래’(거래소 간 코인 가격 차이를 이용한 차익 매매) 참여를 제안했다. 심씨는 10분 만에 투자금의 10% 수익을 거둘 수 있다는 설명에 투자 참여를 원했다.

나는 그의 컴퓨터에 원격조종 프로그램을 설치해 내가 지정한 전자지갑 서비스에 가입을 시켰다. 심씨는 투자자 5명이 모은 1억 8000만원(4월 시세 기준)어치의 이더리움을 내가 지정한 전자지갑에 전송했다. 이제 지갑에서 돈을 꺼내 유유히 사라질 차례다. 경찰에 신고한다고 과연 나를 뒤쫓을수 있을까. (*피해자들과의 인터뷰를 통해 재구성한 디마 시점으로 본 사기 수법)



해킹범 ‘디마’는 어떻게 코인을 훔쳤나9일 서울신문 취재 결과 우크라이나에 근거지를 둔 것으로 알려진 ‘디마’는 올 들어 ‘야로‘, ‘야릭’ 등으로 이름을 수시로 바꿔가며 포털 사이트의 투자·재테크 카페를 중심으로 코인 탈취 범죄를 저지른 혐의로 현재 수사를 받고 있다.

심씨는 “디마가 ‘메타마스크‘라는 특정 지갑 서비스에 가입시켜 이더리움을 넣게 하고 자신이 만든 사이트로 돈을 보내면 7~10%의 수익을 얹어 돌려주는 방식을 제안했다”며 “지갑 서비스에 가입시킬 때 지갑 비밀번호를 바꿀 수 있는 12개의 암호 키를 탈취해 돈을 빼간 것 같다”고 말했다.

강남에서 학원을 운영하는 황종태(53)씨는 지난달 21일 디마의 카톡을 받았다. 주변 지인들과 3억원어치의 1000이더를 모았지만 ‘다시 한번 더 확인하고 최종 투자를 결정하자’는 주변의 충고에 마지막 순간 투자 결정을 뒤집었다. 황씨는 “직접 페이어 본사에 메일을 보내 확인했지만 그런 사람은 알지 못한다는 답변을 받았다”며 “디마의 투자 제안에 응했다면 어떻게 됐을지 아찔하다”고 가슴을 쓸어내렸다.

지난 3월 당시 시세 기준으로 1억 6000만원 상당의 이더리움을 탈취당하는 피해를 본 곽정훈(44·가명)씨도 범인을 디마로 지목했다. 곽씨는 “디마가 암호화폐로 결제가 가능한 ‘골드카드’를 만드는 사업을 한다며 자금 증빙을 해달라고 했다”고 털어놨다. 그는 “우크라이나까지 가서 직접 그를 만나 샘플카드도 받았다”며 “눈앞에서 직접 결제가 되는 걸 확인했을 때 디마의 말을 믿게 됐다”고 말했다. 하지만 그가 보여준 샘플카드는 단순히 현금이 충전된 기프트카드였다. 곽씨는 디마에 대해 “30대 초중반의 경상도 사투리를 쓰는 남성이었다”고 떠올렸다.

곽씨의 사건을 수사 중인 서울 강북경찰서는 “피해자의 카카오톡 IP를 조회한 결과 상대 주소가 우크라이나 등 해외 국가로 나왔다”며 “네이버에도 영장을 신청해 피의자 특정에 주력하고 있다”고 밝혔다.

훔친 코인 이틀 만에 수백건 거래 거쳐 세탁서울신문이 블록체인 보안 전문업체인 웁살라시큐리티에 의뢰해 디마의 전자지갑에 대한 자금을 추적한 결과 그가 탈취한 암호화폐들은 일주일 새 1000건이 넘는 거래로 세탁돼 해외 거래소로 이동한 것으로 확인됐다.

국내 사법기관의 감시망을 피해 해외 거래소들로 탈취된 코인들이 빠져나갔다는 건 사실상 더이상의 추적이나 환수가 불가능하다는 걸 나타낸다. 현재 암호화폐의 국제적인 자금 이동의 경우 국제 사법 공조를 통해 거래내역 확인이나 거래중지 요청을 할 수 있지만, 대부분 코인 탈취 피의자의 신분을 특정하기가 어렵고 해외 거래소도 협조적이지 않다는 걸 노린 것으로 풀이된다.

자금 세탁 수법도 갈수록 지능화되고 있는 것으로 나타났다. 디마는 단시간에 수백건씩 비정상적인 거래를 일으켜 자금을 섞는 ‘믹싱 앤 텀블링’ 방식으로 세탁했다. 곽씨 사례의 경우 탈취 직후 이틀 동안 175건의 거래를 거쳐 자금 세탁이 이뤄진 반면 심씨의 자금은 540건의 거래가 일어난 것으로 파악됐다. 박정섭 웁살라시큐리티 연구원은 “불과 한 달 사이에 탈취 자금을 세탁하는 경로가 3배 이상 복잡해졌다”고 분석했다.

자금 세탁 과정에서 바이낸스(중국)와 크라켄(미국) 등 특정 해외 거래소와 스마트컨트랙(거래의 일정 조건을 만족시키면 당사자 간에 자동으로 거래가 체결되는 블록체인 기술) 주소가 반복해서 사용되는 모습도 나타났다. 박 연구원은 “대부분의 자금이 해당 거래소들에서 현금화됐을 가능성이 있다”며 “스마트컨트랙에도 해킹 자금 일부가 들어가 코인 상장(ICO) 등에 재투자하는 식으로 세탁을 시도한 것으로 보인다”고 진단했다.

이태권 기자 rights@seoul.co.kr
ⓒ 트윅, 무단 전채 및 재배포 금지
연예의 참견
여기 이슈
갓생 살기