
변호사 해설: 자금세탁방지법 대개정, Web3 산업 6대 분야의 보안 리스크 현황
저자: 샤오스웨이
본 챕터는 Web3의 6대 주요 분야를 기반으로 Web3 산업 자체가 내포하고 있는 보안 리스크와 이들 산업이 자금세탁 도구로 악용될 가능성을 다룬다. 이를 통해 산업 내 잠재적 위협을 드러내고 종사자들의 자금세탁 방지(AML) 인식과 법적 준수 의식을 고취시키고자 한다.
공개 블록체인(Public Chain), 크로스체인 브리지(Cross-chain Bridge), 거래 플랫폼, 지갑, DeFi, NFT는 Web3 산업의 6대 핵심 분야로서, 2023년 동안 총 435건의 보안 사고가 발생해 약 79.83억 달러(약 578억 위안)의 손실을 기록했다.
공개 블록체인(Public Chain)
개요:
공개 블록체인은 블록체인 기술을 활용한 탈중앙화된 클라우드 서버로, 다양한 탈중앙화 애플리케이션(DApp)을 호스팅하고 운영하는 Web3의 기반 네트워크 서비스이다. 대표적인 예로 BTC, ETH, BSC, SOL 등이 있다. 모든 공개 블록체인은 탈중앙화 수준, 보안성, 고성능이라는 세 가지 요건을 동시에 충족하기를 추구하지만, 이는 실현이 어려운 '불가능한 삼각형'이다. 예를 들어 BTC는 성능을 희생하여 탈중앙화와 보안성을 확보했으며, ETH는 보안성을 희생함으로써 탈중앙화와 성능을 얻었다.
불완전한 통계에 따르면, 2023년 12월 기준 전 세계 공개 블록체인은 194개에 달한다. 생태계 시가총액 기준으로는 CoinGecko 데이터에 따라 이더리움(Ethereum), BNB 체인(BNB Chain), 솔라나(Solana)가 상위 3위를 차지하고 있으며, 현재 공개 블록체인 생태계의 전체 시가총액은 1조 달러를 초과한다. 2023년 12월까지 집계된 바에 따르면, 공개 블록체인 분야에서는 총 13건의 보안 사고가 발생해 누적 자산 손실액이 2.8억 달러를 초과했다.
현재 많은 공개 블록체인들은 크로스체인 브리지를 통해 상호 연결되어 있으며, 이러한 특성상 한 블록체인이 문제를 겪게 되면 그 영향이 다른 연결된 블록체인으로 급속히 확산되어 연쇄 반응을 일으킬 수 있다. 이러한 신속한 전파는 문제 자체뿐만 아니라 해결도 매우 까다롭고, 전체 공개 블록체인 생태계의 안정성과 보안에 심각한 위협이 된다.
주요 사례:
2022년 10월 7일, 스마트 계약 플랫폼인 바이낸스 체인(BNB Chain)이 해커의 공격을 받아 단 2시간 만에 해커가 200만 개의 BNB를 무작위로 증발시켜 다른 공개 블록체인으로 크로스체인 전송한 후, 각 체인의 DEX 시장에서 이 가짜 BNB를 실제 현금으로 교환함으로써 7억 달러 이상의 피해를 입혔다.
크로스체인 브리지(Cross-chain Bridge)
개요:
각 공개 블록체인은 서로 독립적이며 연결되지 않기 때문에, 투자자가 다양한 블록체인에서 투자, 스테이킹 등의 활동을 할 때 서로 다른 체인의 합의 메커니즘 제약으로 인해 자산 통합이나 이전이 필요할 경우 크로스체인 기술이 필수적이다. 크로스체인 브리지는 물리적인 다리가 아니라 프로토콜과 기술을 통해 사용자가 서로 다른 공개 블록체인 간에 자산을 이동할 수 있도록 하는 기술 및 자산 전송의 핵심 '다리' 역할을 한다. 통계에 따르면, 2022년 상반기에만 크로스체인 브리지 공격 사건이 7건 발생해 총 약 11억 3599만 달러의 손실이 발생했다.
Chainalysis 자료에 따르면, 2023년 불법 행위자들이 브리징 프로토콜을 이용해 자금세탁을 하는 사례가 크게 증가했으며, 특히 암호화폐 도난 사건에서 두드러졌다. 아래 그래프에서 보듯이, 브리징 프로토콜은 2023년 불법 주소로부터 7.438억 달러의 암호화폐를 수령했으며, 이는 2022년의 3.122억 달러보다 크게 증가한 수치이다. 예를 들어 북한 해커 그룹 라자루스 그룹(Lazarus Group)은 크로스체인 브리지와 믹서(Mixer) 기술을 결합해 자금세탁을 수행하는 중요한 수단으로 삼고 있다.

주요 사례:
1. Ronin 체인 자금 유출 사건
2022년 3월 29일 밤, 블록체인 게임 Axie Infinity의 기반이 되는 Ronin 체인에서 자금이 유출되었다. 이 공격은 3월 23일 발생했지만, 3월 29일이 되어서야 발견되었다. 이번 공격으로 약 6.24억 달러(173,600 ETH 및 2550만 USDC 포함)의 손실이 발생했으며, 이는 지금까지 가장 큰 피해를 낸 크로스체인 브리지 보안 사고이다. Ronin에서 유출된 자금은 회수되지 못했고, 최종적으로 Axie Infinity와 Ronin 체인 개발사 Sky Mavis가 사용자에게 배상했다.
2. 크로스체인 프로젝트의 자금세탁 악용 사례
2022년 8월 10일, 블록체인 분석 기업 엘립틱(Elliptic)은 크로스체인 프로토콜 RenBridge가 적어도 5.4억 달러 규모의 불법 자금세탁 거래에 이용되었다고 밝혔다.
2023년 5월 21일, 유명한 크로스체인 프로젝트 Multichain의 CEO 조 준(Zhao Jun)이 중국 경찰에 자택에서 체포되어 전 세계 Multichain 팀과 연락이 두절되었다. 공개 언론 보도에 따르면 Multichain은 범죄 조직의 자금세탁에 관여했으며, 관련 금액이 막대한 것으로 알려졌다.
거래 플랫폼
개요:
거래 플랫폼, 즉 디지털 화폐 거래소 또는 암호화폐 거래소는 주로 사용자에게 가상화폐 매매 서비스, 가상자산 보관 및 관리, 가상자산 대출 서비스 등을 제공한다. CoinGecko 데이터에 따르면, 2023년 12월 기준 전 세계 암호화폐 거래소는 총 887곳이며, 이 중 중앙화 거래소(Centralized Exchange)는 224곳, 탈중앙화 거래소(DEX)는 663곳, 파생상품 거래소는 94곳이다. 2023년 한 해 동안 암호화폐 거래소에서는 19건의 보안 사고가 발생해 누적 자산 손실액이 12억 달러를 초과했다.
주요 사례:
2023년 11월 21일, 미국 사법부 웹사이트는 세계 최대 암호화폐 거래소 Binance.com을 운영하는 바이낸스 홀딩스 리미티드(Binance Holdings Limited, 약칭 Binance)가 자금세탁 혐의, 무허가 송금, 제재 위반 등에 연루된 혐의를 인정하고 43억 달러의 벌금을 지불하기로 합의했다고 발표했다(25억 달러 몰수 및 18억 달러 형사 벌금). 또한 바이낸스 창립자이자 최고경영자(CEO)인 자오창펑(趙長鵬)은 효과적인 자금세탁 방지 프로그램을 유지하지 못한 책임을 인정하고 바이낸스 CEO직에서 사임했다.

11월 21일 오후 4시 36분, 바이낸스 창립자 자오창펑은当天 CEO직에서 사임하며 "나는 실수를 저질렀고, 그 책임을 져야 한다"는 트윗을 게재했다.

미국 사법부는 바이낸스가 효과적인 자금세탁 방지 프로그램을 시행하지 않았다고 지적했다. 오랜 기간 동안 바이낸스는 사용자가 이메일 주소 외에 어떤 신원 정보도 제출하지 않고도 계좌 개설과 거래를 할 수 있도록 허용했다. 또한 미국 제재법은 미국인이 이란 등 포괄적 제재 대상 지역의 고객과 거래하는 것을 금지하고 있지만, 바이낸스는 미국 사용자와 이란 사용자 간의 거래를 막는 조치를 시행하지 않았다. 2018년 1월부터 2022년 5월까지 바이낸스의 고의적인 소홀로 인해 미국 거주자와 일반적으로 이란에 거주하는 사용자 간의 거래가 8.98억 달러를 초과했다.
"바이낸스는 이윤 추구 과정에서 자신의 법적 의무를 외면했다. 그들의 고의적인 소홀은 자금이 테러리스트, 사이버 범죄자, 아동 학대자에게 향하도록 방치했다."라고 재닛 옐런(Janet Yellen) 미국 재무장관은 말했다. "미국 법률과 규정을 준수하기 위해 오늘의 역사적 처벌과 감독은 가상화폐 업계의 이정표가 된다. 어디에 있든 미국 금융 체계의 혜택을 받고자 하는 기관은 우리 모두를 테러리스트, 외국 적대 세력, 범죄로부터 보호하라는 요구를 반드시 준수해야 하며, 그렇지 않을 경우 결과를 감수해야 한다." 기술 웹사이트 GeekWire에 따르면, 존스 판사는 법정에서 바이낸스의 연방 은행 비밀법 위반 행위가 "양적, 규모, 범위 면에서 전례 없는 것"이며 잠재적 테러 자금 조달 및 마약 밀매에 대해 "거의 눈감고 있었다"고 지적했다.
2024년 4월 30일, 바이낸스 창립자이자 전 최고경영자(CEO) 자오창펑은 거래소의 자금세탁 방지를 방치한 혐의로 징역 4개월을 선고받았다.
지갑(Wallet)
개요:
Web3 지갑은 암호화폐 지갑 또는 디지털 자산 지갑이라고도 하며, 디지털 화폐를 저장, 관리, 사용하는 도구이다. 통계에 따르면 2023년 12월 기준 디지털 지갑 프로젝트는 총 153개이며, 2023년 디지털 지갑 분야에서는 35건의 보안 사고가 발생해 누적 자산 손실액이 6억 달러를 초과했다.
디지털 지갑 관련 자금세탁 범죄는 주로 두 가지 측면에서 나타난다. 첫째, 지갑 자체의 보안 취약으로 인한 해킹으로 사용자 자산이 유출되는 경우, 둘째는 디지털 지갑이 KYC를 요구하지 않고 주소(일련의 숫자와 문자 코드)만 제공하면 되며, 은행 등 중개 서비스가 필요 없어 익명성과 국경 초월 특성이 있어 범죄자들이 자금세탁 도구로 악용하기에 천연적으로 적합하다는 점이다.
주요 사례:
1. 핫월렛(Hot Wallet) 해킹 사건
Alphapo는 도박, 전자상거래, 구독 서비스 및 기타 온라인 플랫폼에 중앙화된 암호화폐 결제 서비스를 제공하는 업체이다. 2023년 7월 23일, Alphapo의 핫월렛이 해킹당해 Ethereum, TRON, BTC 등 약 6000만 달러 상당의 자산이 유출되었다. 유출된 자금은 먼저 이더리움 네트워크에서 ETH로 교환된 후, Avalanche 및 BTC 네트워크로 크로스체인 전송되었다.
2. 중국 내 최초 디지털 위안화를 이용한 자금세탁 사건 검거
2021년 11월 2일, 허난성 신미시 공안 부서는 전기통신 네트워크 사기 사건을 수사 중 사기 조직이 디지털 위안화를 이용해 자금세탁을 하여 공안기관의 단속을 피하려 했다는 사실을 밝혀냈다. 이는 중국에서 디지털 위안화 시범 운용 이후 공안기관이 검거한 국내 최초의 디지털 위안화를 통한 자금세탁 사건이다.
DeFi: 블록체인 자금세탁 방지의 중점 감시 대상
개요:
DeFi(탈중앙화 금융)는 개방형 금융 시스템을 구축하기 위한 탈중앙화 프로토콜이다. 현재 DeFi 생태계에는 기능별로 거래, 대출, 자산 관리, 스테이블코인, 금융 인프라, 보험, 파생상품, 거래 플랫폼 등 다양한 프로젝트가 존재한다. 통계에 따르면 Web3 분야 중 DeFi가 여전히 가장 빈번하게 공격받는 분야이다. 2023년 DeFi 분야에서 발생한 보안 사고는 총 282건으로 전체 사고의 60.77%를 차지하며, 손실액은 7.73억 달러에 달한다.

DeFi 대부분의 제품은 스마트 계약과 상호작용 프로토콜을 기반으로 구축되며, 코드가 대부분 오픈소스이고, 점점 커지는 DeFi 생태계 내에서 다양한 DeFi 제품 간의 조합, 유통, 자산 공유로 인해 발생하는 보안 문제가 점점 더 많아지고 있다. 해외 블록체인 기업 Chainalysis의 보고서에 따르면, 불법 주소에서 암호화 자산 서비스 기관으로 보내진 자금 총액 중 DeFi의 비중이 점점 커지고 있다. 2021년 DeFi 프로젝트가 수령한 불법 자금은 2020년 대비 약 1900% 증가했으며, 모니터링된 모든 불법 자금 중 19%를 차지했다. 2022년에는 DeFi 프로토콜이 불법 자금의 최대 수령처가 되었으며, 범죄 활동과 관련된 주소에서 보낸 모든 자금 중 69%를 차지했다.

주요 사례:
북한 해커, DeFi 프로토콜을 통한 자금세탁
Chainalysis가 제공한 2021년 사례에 따르면, 북한 해커 그룹 라자루스 그룹은 중앙화 거래소에서 9100만 달러 이상의 암호화 자산을 훔친 후 여러 DeFi 프로토콜을 이용해 자금세탁을 했다. 해커는 초기에 다양한 ERC-20 토큰을 훔친 후, 여러 DeFi 프로토콜을 이용해 이를 이더리움(ETH)으로 교환했다. 이후 ETH를 믹서(Mixer)로 보내고 다시 DeFi 프로토콜을 이용해 비트코인(BTC)으로 교환한 다음, 이 BTC를 여러 중앙화 거래소로 이동시켜 현금화했다.

NFT
개요:
NFT(Non-Fungible Token, 대체 불가능 토큰)는 블록체인에 저장되는 디지털 자산으로, 고유성, 희귀성, 분할 불가능성 등의 특성을 갖는다. 주로 게임, 예술품, 도메인 등에 활용된다. 불완전한 통계에 따르면 2023년 12월 기준 NFT 분야에서는 총 44건의 보안 사고가 발생해 누적 자산 손실액은 약 6200만 달러였다.
주요 사례: NFT 클리닝 트레이딩(Cleaning Trading)
Chainalysis 통계에 따르면, 2021년 3·4분기 동안 대부분의 NFT 관련 불법 암호화 자산은 사기와 관련된 주소에서 나왔으며, 이 주소들은 암호화폐로 NFT를 구매했고, 또한 다량의 도난 자금이 NFT 시장으로 보내졌다.

분석 데이터를 통해 확인된 클리닝 트레이딩 참여자의 수익 상황에 따르면, 262개 주소가 관행적으로 NFT 클리닝 트레이딩을 수행했으며, 이 중 152개는 수익이 없었고, 나머지 110개는 클리닝 트레이딩을 통해 약 890만 달러의 수익을 올렸다.

참고: 본문의 데이터는 OKLink, 제로타임 테크놀로지, 슬로우미스트, 청두 체인세큐리티, 지판테크놀로지 등 업계 리서치 보고서를 참고하여 작성되었습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News












