
멀티체인(Multichain) 크로스체인 브리지 체포 사건을 계기로 본 크로스체인 기술 창업 시 주의해야 할 법적 리스크
글: 류훙린, 진젠즈
중국계 크로스체인 브릿지 프로젝트인 Multichain이 형사 범죄에 연루되어 최고경영자(CEO) 등이 중국 경찰에 조사를 받기 위해 연행되면서 하룻밤 만에 토큰 가격이 폭락했다. 서로 다른 블록체인 간의 가치 유통을 해결하려는 크로스체인 기술은 중국에서 정말 창업이 불가능한가?
창립자 체포로 인해 프로젝트 운영 중단
2023년 5월 21일, 유명한 크로스체인 프로젝트 Multichain의 CEO인 자오쥔(趙 Jun)이 국내 경찰에 의해 자택에서 연행되었으며, 이후 전 세계 Multichain 팀과의 연락이 두절되었다. 팀은 MPC 노드 운영자에게 연락하여 MPC 노드 서버에 대한 접근 키가 이미 취소된 사실을 확인했다.
그 후 수사팀은 자오쥔의 가족과 접촉했으며, 그의 모든 컴퓨터, 휴대폰, 하드웨어 지갑 및 복구 문구들이 압수되었다는 사실을 알게 되었다. 프로젝트 시작 이후 모든 운영 자금과 투자자의 자본은 자오쥔이 통제해 왔다.
6월 4일, 자오쥔의 가족이 클라우드 서버 플랫폼에 있는 가정용 컴퓨터에 성공적으로 로그인했으며, Multichain 팀 엔지니어들에게만 Router2와 Router5의 기술 문제를 해결하기 위한 물리적 접근을 허용했다.
7월 9일, 자오쥔의 누나가 라우터 풀에 남아 있던 사용자 자산들을 이전했으며, 이후 팀과 여러 프로젝트 관계자들에게 이를 공지했다. 해당 자금들은 자오쥔의 누나가 소유한 EOA 주소로 이체되었다.
7월 13일, 자오쥔 가족 측에서 제공한 정보에 따라 경찰은 자오쥔의 누나도 함께 연행했다.
매너플로그(Maofu) 모니터링에 따르면, 7월 7일 이후 Multichain에서 유출된 자금 총액은 무려 2.65억 달러에 달하며, 이더리움, BNB 체인, 폴리곤, 아발란체, 아비트럼, 옵티미즘, 팬텀, 크로노스, 문빔 체인 등에 분포되어 있다. 이 중 6582만 달러는 서클(Circle)과 테더(Tether)에 의해 동결되었으며, 1,296,990.99 ICE(약 162만 달러 상당)는 토큰 발행사에 의해 소각되었다.
공개된 정보에 따르면, Multichain은 2020년 7월 설립되었으며, 2021년 12월 6000만 달러의 투자를 유치했다. 투자 기관으로는 바이낸스 랩스(Binance Labs), 시쿼이아 캐피털(Sequoia Capital), IDG 캐피털, 삼진캐피털(Three Arrows Capital), 디파이언스 캐피털(DeFiance Capital), 트론 재단(TRON Foundation), 해시키 캐피털(Hashkey Capital), 서클(Circle), 하이퍼스피어 벤처스(Hypersphere Ventures), 프리미티브 벤처스(Primitive Ventures), 매직 벤처스(Magic Ventures) 등이 있다.
블록체인 크로스체인이란 무엇인가?
퍼블릭 체인의 급속한 발전은 블록체인 기술의 보급과 혁신과 밀접하게 연결되어 있다. 과장된 데이터에 따르면 현재 존재하는 퍼블릭 체인은 수백 개에 이를 수 있으며, 서로 다른 블록체인 간에는 각기 다른 통신 프로토콜, 합의 규칙, 거버넌스 모델이 존재한다. 대표적인 퍼블릭 체인으로는 비트코인, 이더리움, 솔라나, 바이낸스 스마트 체인(BSC) 등이 있으며, 이 외에도 다양한 합의 메커니즘과 기술 구조를 기반으로 한 많은 퍼블릭 체인 프로젝트가 존재한다. 각 퍼블릭 체인은 고유한 특성, 장점 및 활용 사례를 가지고 있다. 따라서 서로 다른 블록체인 간의 상호 운용성(interoperability)은 자산과 정보의 이동을 가능하게 하는 크로스체인 기술의 필연적인 등장을 가져왔다.
크로스체인 기술은 블록체인 산업의 핵심 기술로서, 서로 다른 블록체인 간의 데이터 흐름, 자산 이전, 가치 교환 문제를 해결하기 위한 것이다. 크로스체인 기술의 기초 기술은 매우 복잡하지만, 비기술자들도 다음과 같은 단순한 예시를 통해 이해할 수 있다. 일반적으로 사용자가 A 체인의 자산을 B 체인으로 이동하려 할 때, 먼저 해당 자산을 크로스체인 기술이 A 체인에 설정한 특정 주소로 입금한다. 그런 다음 브릿지의 검증자가 이 정보를 수신하면, B 체인에서 동일한 양의 래핑 토큰(wrapped token)을 발행하거나, 목적 체인에 자금 풀을 만들어 크로스체인 자산을 목적 체인의 네이티브 자산으로 변환한 후, 사용자의 B 체인 계좌로 송금하는 방식이다.
크로스체인 기술에서 가장 큰 관심사는 보안 문제다. 크로스체인 창업자들에게 있어 프로젝트의 안전성뿐 아니라 본인의 신변 안전 역시 중요하다.
프로젝트 해킹 시 발생 가능한 법적 리스크
크로스체인 분야에서는 보안 사고가 적지 않게 발생하고 있다. 2021년 7월 3일, Chainswap 크로스체인 프로젝트의 스마트계약이 공격을 받아 일부 사용자의 토큰이 ChainSwap과 상호작용한 지갑에서 탈취되었으며, 총 피해액은 약 80만 달러였다. 2021년 7월 12일, Anyswap이 새로 출시한 V3 크로스체인 유동성 풀도 해커의 공격을 받아 총 787만 달러 이상의 손실을 입었다. 2021년 8월, Poly Network는 메인넷이 해킹당해 BSC, 이더리움, 폴리곤 등 세 개의 블록체인상에 있는 사용자 자산 약 6.1억 달러가 이체되었으며, 이는 지금까지 발생한 DeFi 보안 사건 중 최대 규모의 사건이 되었다.
블록체인 기술 자체가 탈중앙화라는 본질을 가지므로, 스마트계약에 결함이나 버그가 있어 손실이 발생할 경우 책임 소재를 규명하기가 매우 어렵다. 사용자 자산이 유실되는 경우, 크로스체인 프로젝트 운영자가 어떤 책임을 져야 하는지는 비교적 복잡한 문제다.
이에 대해 프로젝트 측에서 미리 준비할 수 있는 것은 두 가지다:
1. 스마트컨트랙트 보안 감사: 스마트컨트랙트가 보안 감사를 거쳤는지 확인하여 기술적으로 취약점과 공격을 방지해야 한다. 대부분의 크로스체인 기술은 금융과 직접 연결되어 사용자의 자금을 다루므로, 프로토콜 설계 및 구현 단계부터 보안을 최우선으로 고려해야 하며, 아무리 철저히 해도 지나치지 않다. 또한, 프로토콜은 적어도 두 곳 이상의 보안 감사 회사로부터 감사를 받아야 하며, 보안 위험을 줄일 수 있다. 불필요한 관리자 권한을 도입하지 말고, 프로토콜 배포자 및 관리자의 권한을 제한하여 단일 계정 유출로 인해 전체 프로토콜의 자금이 위험에 처하는 것을 방지해야 한다.
2. 계약서 작성: 프로젝트 운영사와 파트너, 투자자, 사용자 간의 사용자 계약서 및 계약 조항을 명확하고 정확하게 작성하여, 보안 사고 발생 시 각 당사자의 책임과 의무, 사용자 자산 유실 시 보상 메커니즘 등을 문서에 최대한 명시해야 한다.
토큰 발행 시의 법적 리스크
대부분의 크로스체인 프로젝트는 자체 프로젝트 토큰을 보유하고 있다. 크로스체인 창업자들은 각 국가 및 지역의 블록체인과 암호화폐에 관한 법률 체계가 크게 다를 수 있다는 점을 반드시 이해해야 한다. 예를 들어 미국 증권거래위원회(SEC)는 특정 토큰을 증권으로 간주할 수 있으나, EU는 완전히 다른 분류를 할 수 있다. 즉, 크로스체인 솔루션을 설계하고 실행할 때 다양한 법률 요건과 규제 체계를 고려해야 한다.
특히 중국 내에서 토큰 발행은 매우 민감한 문제다. 2017년 9월 4일 중국 인민은행(PBOC) 등 7개 부처는 「대형 발행 융자 위험 방지에 관한 공고」를 발표하며, 대형 발행 융자는 승인되지 않은 불법 공개 모집 행위이며, 불법 대형 판매, 불법 증권 발행, 불법 자금 모집, 금융 사기, 피라미드 판매 등 범죄 활동에 해당한다고 명시했다. 공고 발표일 이후 모든 종류의 대형 발행 융자 활동은 즉시 중단되어야 하며, 이미 대형 발행 융자를 완료한 조직 및 개인은 환불 등의 조치를 취해야 한다고 요구했다.
즉, 프로젝트가 중국 본토 사용자를 대상으로 토큰을 발행하는 것은 규제의 고압선을 건드리는 행위다.
KYC, KYT 및 AML
서문에서 언급된 Multichain의 연행 사건은 공개 보도에 따르면 범죄 조직의 돈세탁 혐의로, 관련 금액이 막대한 것으로 알려졌다. 크로스체인 기술은 익명성과 추적이 어렵다는 특성 때문에 범죄 조직이 이를 악용해 돈세탁 도구로 삼기 쉽다.
구체적으로 보면, 크로스체인 기술은 여러 블록체인 네트워크 간 자산 이동을 포함하는데, 일부 네트워크는 제로 낼리지 프루프(zero-knowledge proof) 또는 프라이버시 코인처럼 더 높은 익명성과 개인정보 보호 기능을 갖추고 있어, 돈세탁범들이 자금의 출처와 도착지를 숨기기 쉬워진다. 또한, 다수의 블록체인 네트워크를 오가는 자산 이동은 추적과 모니터링이 더욱 복잡해지며, 일부 크로스체인 프로토콜의 설계는 거래 기록을 더욱 추적하기 어렵게 만들어 돈세탁 활동에 더 많은 기회를 제공한다.
오크차인 연구원(Oktchain Research Institute) 통계에 따르면, 2022년 가장 흔한 가상자산 범죄 형태는 돈세탁, 사기, 피라미드, 도박으로 나타났으며, 이 중 54.72%가 돈세탁과 관련되었고, 21.13%는 사기와 관련됐다.
각국 정부가 가상자산을 선호하지 않는 중요한 이유 중 하나는 악의적인 집단에 의해 악용되고 있기 때문이다. 범죄 조직이 규제 기관의 감시 대상이 되면, 이들의 범죄 자산을 처리하는 데 도움을 준 크로스체인 프로젝트 역시 책임에서 벗어날 수 없다. 또한 크로스체인 프로젝트는 '기술 중립성'이라는 명분으로 자신을 방어하기 어려울 수 있다. 2022년 8월, 미국 재무부 외국자산통제국(OFAC)은 믹싱 서비스 Tornado Cash를 제재했는데, 제재 문서에 따르면 Tornado는 2019년 설립 이후 70억 달러 이상의 암호자산을 세탁하는 데 사용되었으며, 여기에는 북한 해커 그룹 라자루스(Lazarus Group)가 두 개의 블록체인 앱에서 훔친 4.55억 달러 이상의 암호자산도 포함되었다.
이러한 위험을 줄이기 위해서는 효과적인 KYC 및 AML 조치가 필요하다.
KYC(고객 확인): 효과적인 KYC 절차를 설계하고 실행하는 것은 사업의 규제 준수를 보장하는 첫 번째 단계다. 이름, 주소, 신분증 및 기타 관련 자료 등 사용자의 신원 정보 수집 및 검증을 포함하며, KYC 절차가 현지 법률 및 규정을 준수하도록 하고, 지속적인 업데이트와 검토를 수행해야 한다. 이러한 개인정보 수집 및 처리 시 개인정보 보호 법규를 준수하고, 사용자에게 데이터 수집 및 사용 방법을 명확히 고지해야 한다. KYC는 법정화폐 세계에 더 적합하며, KYT는 블록체인 세계에 더 적합하다.
KYT(거래 확인): KYT는 금융기관이 금융 거래에 사기 또는 의심스러운 활동이 있는지 모니터링하고 추적하는 절차다. KYT는 금융기관이 각 거래의 출처와 목적지를 식별하고, 거래 위험을 평가하며, 필요한 조치를 취하고, 규제 당국에 의심스러운 거래를 보고하는 데 도움을 준다. KYT는 전통 금융 분야에서 널리 사용되는 KYC와 다르다. KYC는 고객의 신원 정보에 초점을 맞춰 특정 개인/기관의 정적인 신원을 중심으로 하지만, KYT는 고객의 동적인 거래 과정에 주목한다. 전통 금융 분야에서 KYT는 현재로서는 부가적인 요소지만, 가상자산 거래에서는 KYT가 리스크 대응을 위한 필수 요소가 될 수 있다.
그 이유는 블록체인 세계에서는 은행 계좌 개설 시 각종 신분 인증 자료를 제출하는 과정이 없으며, 암호화폐 사용자들은 계정 생성 시 '모든 것을 스스로 한다'는 원칙을 따른다. 누구의 도움도 필요 없이 익명으로 무수히 많은 체인 상 주소를 만들 수 있는데, 이런 상황에서 복잡한 문자열 같은 지갑 주소만으로는 상대방의 실제 신원을 파악하기 어렵고, 반대로 돈세탁 방지도 거의 불가능하다. KYT는 블록체인 사용자들이 위험한 주소와 거래를 식별하고, 의심스러운 불법 거래의 블랙리스트 주소를 찾아내며, 해당 주소를 추적해 거래의 출발점과 종착점을 파악하는 데 도움을 준다. 의심스러운 거래 행동, 다크웹의 거래 주소, 관련 주소들, 특정 주소의 거래소 KYC 기록 등의 정보를 통해 체인 상 주소를 실제 실체와 연결함으로써 익명의 체인 상 세계와 실명의 오프라인 신원을 연결할 수 있다.
AML(자금세탁방지): 의심스럽거나 비정상적인 거래 활동을 식별하고 보고하기 위한 효과적인 거래 모니터링 메커니즘을 시행하라. 기술 도구와 시스템을 활용하여 고객의 거래 패턴, 자금 흐름, 위험 행동을 모니터링하고, 필요한 조사를 신속히 수행하고 보고하라.
효과적인 KYC, KYT 및 AML 조치는 자금세탁, 테러자금 조달 및 기타 금융 범죄와 관련된 위험을 줄이고, 신뢰와 평판을 구축하며, 프로젝트 운영자의 안전을 확보하고, 사업과 사용자에게 더 안전하고 신뢰할 수 있는 환경을 제공할 수 있다.
요약
점점 더 많은 국가와 지역이 가상자산의 자금세탁 방지를 규제 범위에 포함시키고 있는 가운데, 가상자산의 발행과 유통을 다루는 기관들은 규제 기관의 준수 요구사항을 충족하기 위해 KYC 조사를 보완하기 위해 KYT를 필수적으로 활용해야 한다.
크로스체인 창업자들은 기술 혁신과 비즈니스 모델 탐색을 추구하는 동시에 법적 리스크 관리를 최우선 과제로 삼아야 한다. 그래야만 자신의 안전을 보장할 수 있고, 그 기반 위에서야 비로소 프로젝트의 장기적인 발전과 사용자 자산의 안전을 담보할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










