토네이도 캐시의 승소는 탈중앙화 네트워크의 발전을 위한 길을 열어주었다

2024.12.05

토네이도 캐시의 승소는 탈중앙화 네트워크의 발전을 위한 길을 열어주었다

온체인은 새로운 온라인이 되었다.

2024.12.05 - 08:02:39

TornadoCash

Web3 심층 보도에 집중하고 흐름을 통찰

온체인은 새로운 온라인이 되었다.

글: Will 아망

2024년 11월 26일, 미국 제5순회항소법원은 미국 재무부 외국자산통제국(OFAC)이 Tornado Cash에 대한 제재를 가한 것이 불법이며, 본인의 법정 권한을 초과했다고 판결했다. 코인베이스(Coinbase) 법률총괄 폴(Paul)이 말했듯이, "암호화 산업과 자유를 옹호하는 모든 이들에게 있어 이는 역사적인 승리다."

누구도 범죄자가 암호화 프로토콜을 사용하기를 원하지 않지만, 의회가 제정한 법률은 규제기관이 일부 사용자의 악용 때문에 기술적으로 중립적인 오픈소스 코드 전체를 차단할 수 있도록 허용하지 않는다. 권한을 초과한 규제 집행은 제한되어야 한다.

항소법원은 명확히 밝혔다. OFAC이 불법 행위 금지라는 합법적 이유를 가지고 있긴 하지만, Tornado Cash는 변경 불가능한 스마트 계약(프라이버시를 지원하는 소프트웨어 코드 라인)으로서 외국 국민 또는 실체의 '재산(property)'에 해당하지 않으며, 따라서 (1) 법적으로 차단될 수 없고, (2) OFAC이 의회로부터 부여받은 법정 권한을 초과했다는 것이다.

이 판결은 암호화 산업에 시대를 열어주는 의미를 지닌다. 변경 불가능한(Immutable) 스마트 계약의 정의를 명확히 함으로써, 복잡한 글로벌 규제 환경 속에서 암호화 산업이 나아갈 방향과 지침을 제공했다.

따라서 본고는 Web3 법률 전문가의 관점에서 Tornado Cash 사건의 중요한 의미를 분석하여, OFAC의 규제 집행 권한 근원, 변경 불가능한(Immutable) 스마트 계약의 정의, 그리고 미래의 탈중앙화 네트워크 발전 방향을 살펴본다.

1. Tornado Cash란 무엇인가?

Tornado Cash는 이더리움 상에서 유명한 믹싱 서비스 애플리케이션으로, 사용자의 거래 프라이버시 보호를 목표로 한다. 디지털 자산 거래의 출처와 목적지, 거래 상대방을 혼동함으로써 익명성 있는 거래를 가능하게 한다.

Tornado Cash는 다양한 종류의 토큰 입금을 받아들인다. 스마트 계약은 제로노울리지 증명(Zero Knowledge Proof) 기술을 활용해 여러 거래를 혼합하여 입금 주소와 인출 주소 사이의 공개된 연결 고리를 끊은 후, 이를 거래 상대방에게 전송함으로써 거래의 프라이버시를 확보한다. 사용자는 더 이상 체인 상에서 자신의 거래가 모니터링되는 것을 걱정할 필요가 없다.

Tornado Cash의 믹싱 스마트 계약은 두 가지 귀중한 기능을 제공한다: 프라이버시(Privacy, 익명 디지털 거래)와 불변성(Immutability, 소프트웨어 코드가 소유 불가능하고, 제어 불가능하며, 변경 불가능하다—심지어 개발자조차도 수정할 수 없다).

비록 체인 상 지갑이 익명이라 할지라도, 지갑 간의 거래는 추적 가능하며 블록체인에 영구적으로 기록된다. 악의적인 목적을 가진 자들은 이러한 거래 기록을 현실 세계의 개인과 연결시킬 수 있다. 이는 매우 위험한 일이다. Tornado Cash는 바로 이러한 문제를 해결하여 지갑 간 거래 경로를 끊고, 사용자의 프라이버시를 보호한다.

(Tornado Cash Case)

2. Tornado Cash 제재 배경

Tornado Cash는 중립적인 기술로서 합법적 사용자들이 거래 프라이버시를 보호하는 데 도움을 줄 수 있지만, 악의적 사용자가 이를 불법적으로 이용하는 것을 막을 수는 없다. 실제로 이 기술은 돈세탁 범죄에 사용되었다.

2022년 8월 8일, 미국 재무부 해외자산통제국(OFAC)은 Tornado Cash에 제재를 가했다. Tornado Cash 프로토콜과 37개의 스마트 계약(최소 20개의 변경 불가능한 스마트 계약 포함), 그리고 기부금을 받기 위한 하나의 주소를 '실체(entity)'로 지정하고 제재 대상에 올렸다. 그 이유는 북한 해커 조직이 Tornado Cash를 이용해 사이버 범죄(예: 돈세탁)를 저질렀다는 것이었다.

3개월 후, OFAC은 Tornado Cash 관련 53개의 이더리움 주소를 추가로 제재하는 새로운 지침을 발표했다. 이 지침은 Tornado Cash를 DAO 조직이 운영하는 실체로 규정하고, 미국 관할 하에 있는 Tornado Cash 실체의 '모든 부동산, 동산 및 기타 재산과 재산상 권리'를 차단했다.

Tornado Cash를 특별지정국민 및 제재대상자(SDN) 명단에 포함함으로써, OFAC은 Tornado Cash의 '재산'과 관련된 모든 거래를 전면 금지했다. 여기서 OFAC은 '재산'을 '스마트 계약'이라고 불리는 오픈소스 컴퓨터 코드까지 포함한다고 정의했다.

즉, SDN 명단에 오른 체인 상 주소와 어떤 형태로든 상호작용하는 것은 모두 불법이다. 당시 OFAC은 2019년 이후 Tornado Cash를 통한 돈세탁 범죄 금액이 70억 달러를 초과했다고 밝혔다. 또한 Tornado Cash가 미국 내외의 불법 사이버 활동에 실질적인(Materially) 지원, 후원 또는 금융·기술적 지원을 제공했다며, 미국의 국가안보, 외교정책, 경제 건강, 금융 안정에 중대한 위협을 준다고 판단해 제재를 시행했다.

3. 1심 판결: OFAC 권한 인정

코인베이스가 지원한 6명의 Tornado Cash 사용자들이 1심에서 OFAC을 상대로 소송을 제기했다. 이들의 주장 중 항소심에서 유일하게 지지된 주장은 OFAC이 미국 행정절차법(Administrative Procedure Act)을 위반했다는 점이었는데, 즉 (1) Tornado Cash는 외국 '국민'이나 '개인'이 아니며, (2) 변경 불가능한 스마트 계약은 '재산'이 아니며, (3) Tornado Cash는 변경 불가능한 스마트 계약에 대해 재산 '권리'를 가질 수 없다는 것이었다.

그러나 1심 법원은 Tornado Cash 사용자들의 청원을 기각했다. 결론은 다음과 같았다: (1) Tornado Cash는 법적으로 '개인'으로 지정 가능한 '실체'이며, (2) 스마트 계약은 '재산'에 해당하고, (3) Tornado Cash를 운영하는 DAO는 스마트 계약을 통해 제공되는 서비스로부터 수익을 얻기 때문에 그 스마트 계약에 대해 '권리'를 갖는다.

이 판결은 업계에서 큰 논란을 일으켰다. 특히 '스마트 계약(Smart Contract)'이라는 기술 중립적 성격의 제품에 대한 법적 정의 문제는 Web3의 프라이버시와 금융 규제에 대한 깊은 사색을 불러일으켰다. 만약 스마트 계약이라는 소프트웨어 코드가 '재산'으로 정의된다면, 이는 미국 헌법 제1수정조에서 보장하는 언론의 자유 및 개인 프라이버시 권리 침해로 이어질 수 있다.

다행히 최근 항소심 판결은 우리에게 명확한 답과 함께 탈중앙화 네트워크의 밝은 미래를 제시해주었다.

（Tornado Cash 사건을 통해 본 미국 OFAC의 크립토 규제 논리）

4. 항소심 판결: 변경 불가능한 스마트 계약의 정의 명확화

2024년 11월 26일, 항소심 법원은 1심 판결을 뒤집고 OFAC의 제재가 불법이며 법정 권한을 초과했다고 판결했다.

쟁점은 Tornado Cash와 같은 오픈소스 암호화 디지털 자산 거래 프로토콜이 OFAC의 규제 대상인 '재산'과 '권리'에 해당하는지 여부였다.

만약 그렇지 않다면, OFAC은 Tornado Cash에 대한 제재를 가할 권한이 없다.

OFAC의 규제 집행 권한은 국제긴급경제권한법(IEEPA)과 북한 제재 및 정책 강화법에서 비롯되며, 대통령이 외국 '국민', '개인'(또는 '실체')이 소유한 '재산'에 대한 '권리'를 규제하거나 차단할 수 있도록 허용한다.

국제긴급경제권한법(IEEPA)은 미국 현대 제재제도의 핵심 요소로, 미국 국가안보에 위협이 되는 외국 행위자의 자산을 동결하고 거래를 금지할 수 있는 광범위한 권한을 대통령에게 부여한다. 이 권한은 재무부 산하 OFAC이 실행하며, 다양한 경제 제재 프로그램을 감독한다.

OFAC은 이러한 권한을 바탕으로 '개인(person)', '실체(entity)', '재산(property)', '권리(interest)' 등의 용어를 정의하는 규정을 제정했다. 또한 제재 대상자가 이의를 제기할 수 있는 절차를 마련하고, 경우에 따라 제재된 자산 관련 거래를 허가하기도 한다.

4.1 변경 불가능한(Immutable) 스마트 계약

판사는 판결문에서 스마트 계약을 구분하여, 1심에서 모든 스마트 계약을 혼동하여 일괄적으로 '재산'으로 간주한 오류를 피했다.

스마트 계약은 두 가지로 나뉜다: (1) 변경 가능한(Changeable) 스마트 계약(일반적으로 하나 또는 여러 주체가 통제함); (2) 변경 불가능한(Immutable) 스마트 계약(아무도 통제할 수 없음). Once a smart contract becomes immutable, no one can reclaim control over it.

Tornado Cash의 경우, 2019년에 여러 개발자들이 시작한 탈중앙화 오픈소스 소프트웨어 프로토콜이다. 초기에는 일부 스마트 계약이 변경 가능했지만, 2020년 개발자들이 '신뢰할 수 있는 설정 행사(trusted setup ceremony)'를 진행하여 스마트 계약에 대한 통제권을 포기했다. 1100명 이상의 사용자가 참여했으며, 최소 20개의 스마트 계약이 돌이킬 수 없이 변경 불가능한 상태로 전환되었다.

이로써 Tornado Cash는 자동 실행되며, 더 이상 변경, 삭제, 제어될 수 없는 컴퓨터 코드가 되었다. 소프트웨어 프로토콜은 블록체인에 배포되어 자체적으로 작동하며, 어떠한 인간의 개입도 없다. 스마트 계약 전체 및 Tornado Cash 네트워크는 DAO 조직이 거버넌스한다.

4.2 OFAC의 제재 근거

Tornado Cash는 중립적이며 대부분의 사용자들도 익명으로 우크라이나 전쟁에 기부하거나 해킹 공격을 피하는 등 선의의 목적을 위해 사용한다. 그러나 악의적 사용자가 불법 수익을 Tornado Cash를 통해 돈세탁하는 것을 막기는 어렵다.

이것이 바로 OFAC이 개입한 이유다. IEEPA는 대통령이 '미국 외부에서 발생하는 비정상적이고 특별한 위협'에 대응하여 국가비상사태를 선포한 후 특별한 경제 권한을 행사할 수 있도록 허용한다. 이는 미국의 국가안보, 외교정책, 경제에 위협이 되는 외국 또는 그 국민이 소유한 '모든 재산(any property in which any foreign country or a national thereof has any interest)'을 동결하는 것도 포함된다.

4.3 Tornado Cash는 재산이 아니다

법은 대통령에게 외국 '국민' 또는 '개인'(또는 '실체')이 '권리'를 가지는 '재산'을 규제할 권한을 부여하지만, 항소심 법원은 변경 불가능한(Immutable) 스마트 계약이 '재산' 또는 '권리'에 해당하지 않는다고 판단했다.

'재산'은 소유될 수 있는 자산이어야 하며, 명확한 소유권과 처분, 배타적 권리 등을 가져야 한다.

Property has a plain meaning: It is capable of being owned. Property includes everything which is or may be the subject of ownership, whether a legal ownership, or whether beneficial, or a private ownership.

It is "the condition of being owned by or belonging to some person or persons" and encompasses "the right to possess, use, and dispose of something." It also includes the right "to exclude everyone else from interfering with it."

본 사건의 Tornado Cash—변경 불가능한(Immutable) 스마트 계약—은 누구에게도 소유될 수 없으며, 누구도 사용을 배제할 수 없다. 실제로 OFAC의 제재에도 불구하고 사용자들은 여전히 해당 스마트 계약을 호출하여 사용할 수 있다.

"Those immutable smart contracts remain accessible to anyone with an internet connection."

4.4 Tornado Cash는 계약이나 서비스도 아니다

OFAC은 변경 불가능한(Immutable) 스마트 계약이 계약상 권리, 서비스상 권리 등 '재산' 관련 '권리'를 구성할 수 있다고 주장했다. 그러나 항소심 법원은 스마트 계약이 '스마트 계약'이라 불리지만 실제 계약이 아니라고 명확히 했다(the smart contract is not itself a contract).

계약은 양자 또는 다자 간의 합의이며 취소 가능하다. 반면 스마트 계약은 단지 소프트웨어 코드일 뿐, 제안을 하거나 취소 등 계약 당사자가 행사해야 하는 계약상 권리를 수행할 수 없다. 마찬가지로 우리는 변경 불가능한(Immutable) 스마트 계약이 코드를 수정하거나 삭제하거나 이더리움 블록체인에서 제거되도록 요구할 수 없다. 스마트 계약은 단지 사용자와 소프트웨어 코드 간의 상호작용일 뿐이다.

또한 서비스란 일반적으로 타인의 이익을 위해 특정 유용한 행동이나 일련의 행동을 수행하는 것을 의미한다. 여기서 스마트 계약은 단지 컴퓨터 코드에 불과하여 타인의 이익을 위해 행동하거나 이득을 얻을 수 없다.

Tornado Cash 스마트 계약은 서비스 제공에 사용되는 도구일 뿐이며(the tools used in providing a service), 이러한 스마트 계약을 제어하지도 않는다. 변경 불가능한 스마트 계약은 소유 불가능하고, 계약이 아니며, 서비스도 아니므로 재산이 아니다(The immutable smart contracts are not property because they are not ownable, not contracts, and not services).

4.5 항소심 법원의 판결

따라서 항소심 법원은 1심 판결을 뒤집고, OFAC의 규제 집행이 법정 권한을 초과했다고 판결했다.

법원은 마지막으로 이렇게 밝혔다: 우리는 규제되지 않고 통제 불가능한 기술이 현실 세계에서 야기하는 문제들을 알고 있다. 대통령과 정부는 악의적인 사이버 활동을 당연히 우려하며, 이에 따라 1977년 IEEPA가 제정되었고, 이는 현대 인터넷 발명보다 몇 년 앞선 일이다.

그러나 법률은 대통령과 정부 기관에 다양한 경제 거래를 규제할 광범위한 권한을 부여할 뿐이며, 그 권한이 무한하거나 확대되는 것은 아니다.

5. 탈중앙화 네트워크의 승리

이 판결은 아직 항소심 단계이며, OFAC은 사건을 대법원으로 가져갈 권리가 있다. 그러나 이미 항소심 판결문을 통해 변경 불가능한(Immutable) 스마트 계약에 대한 강력한 논리가 제시되었고, 이를 뒤집기는 어려울 것으로 보인다.

코인베이스가 말했듯이, On Chain is the New Online. 점점 더 많은 탈중앙화 프로토콜과 네트워크가 일반 대중에게 영향을 미치고 있으며, 기존의 체인 상 순수 무허가(Permissionless) 방식도 더욱 개선되어 합법적이고 규제에 부합하도록 해야 한다. 기술 중립적 관점에서의 혁신과 규제 집행 간의 균형을 어떻게 맞출 것인지, 이는 모든 입법자와 규제 당국이 고민해야 할 중요한 과제다.

어찌됐든, 그레이스케일(Grayscale)이 SEC를 상대로 승소한 사건이 BTC ETF 승인의 길을 열었듯이, Tornado Cash 사건도 탈중앙화 네트워크의 추가적인 발전을 위한 길을 열었다.

푸틴 대통령이 말했듯이, 비트코인과 다른 전자 결제 방식은 새로운 기술로서 완전히 금지될 수 없으며, 비용 절감과 거래 신뢰성 향상이라는 장점 때문에 계속 발전할 것이다.