2.5억 달러 규모 암호화폐 절도: 한 달 만에 밝혀진 세기의 강탈 사건의 진실
번역: zhouzhou, BlockBeats
편집자 주: 이 글은 암호화폐 절도 사건에서 비롯된 범죄를 다룹니다. ZachXBT는 소셜미디어를 통해 용의자 Lam의 사치스러운 삶을 추적하고 수사 당국에 협조했습니다. Lam과 공범들은 복잡한 자금세탁 수법을 사용했지만 결국 경찰에 체포됩니다. 동시에 이 범죄조직은 플로리다 주 남성 여러 명이 연루된 납치 사건에도 관여했는데, 사이버 범죄가 점차 현실 세계의 폭력 범죄로 확산되고 있음을 보여줍니다. 결국 경찰은 도난당한 비트코인과 관련 증거를 회수하는 데 성공합니다.
다음은 원문 내용입니다 (읽기 쉬우도록 일부 편집함):
2024년 8월 25일, 무더운 오후, Sushil과 Radhika Chetal 부부는 코네티컷주 댄버리의 고급 주택 단지에서 집을 보고 있었다. 잔디는 깔끔하게 정비되어 있었고 수영장은 온수 시스템이 설치되어 있었다. Sushil은 당시 모건스탠리 뉴욕 지점의 부사장으로, 새로 구입한 매트 그레이 색상의 람보르기니 우루스를 운전 중이었으며, 이 SUV의 시작 가격은 약 24만 달러였다.
그들이 골목을 돌아 나가던 순간, 백색 혼다 시빅 한 대가 갑자기 후방에서 람보르기니를 들이받았다. 동시에 백색 Ram ProMaster 밴도 전방에서 끼어들어 Chetal 부부의 차량을 막아섰다. 이후 제출된 형사 기소장에 따르면, 검은 옷을 입고 얼굴을 가린 6명의 남성이 차량에서 내려와 Chetal 부부를 차 밖으로 끌어내 밴의 측면문 안으로 밀어넣었다.
Sushil이 저항하자 공격자들은 야구 배트로 그를 때렸고, 그를 살해하겠다고 위협했다. 그들은 두 사람의 손발을 테이프로 묶었고, Radhika에게 바닥에 엎드려 있으라고 강요하며 그녀가 천식 때문에 숨쉬기 어려워하며 애원하더라도 자신들을 보지 못하게 했다. 또한 Sushil의 얼굴을 테이프로 감싸더니, 밴이 질주하는 동안 다시 한번 야구 배트로 그를 폭행했다.
여러 목격자들이 공격 장면을 목격하고 911에 신고했다. 그중 한 명은 인근에 거주하는 은퇴한 FBI 요원으로 현장을 우연히 지나가다가 밴과 혼다 시빅을 추적하며 실시간으로 경찰에 위치 정보를 전달했다. 이 요원은 또한 부분적인 번호판 정보를 기록할 수 있었다.
곧이어 댄버리 경찰은 해당 밴을 발견했다. 순찰차가 사이렌을 켜고 차단을 시도했으나, 밴 운전자는 속도를 높이며 교통 흐름 속에서 미친 듯이 질주했다. 약 1마일 정도 추격이 진행된 후, 운전자는 길 가장자리로 돌진하여 보도블록에 충돌했다. 네 명의 용의자들이 차량을 버리고 도망쳤다. 경찰은 다리 아래서 그들 중 한 명을 발견했고, 짧은 추격 끝에 체포했다. 몇 시간 내에 나머지 세 명도 근처 숲속에서 발견되어 체포되었다. 동시에 경찰은 밴 뒷부분에서 여전히 묶인 채 공포에 떨고 있는 Chetal 부부를 발견했다.
댄버리 경찰서의 형사대장 Steve Castrovinci는 당일 휴가 중이었으나 교대 지휘관의 전화를 받고 사건을 알게 되었다. 그는 지휘관이 "납치 사건이다. 진짜 납치 사건이다"라고 말했다고 회상한다. Castrovinci는 몇몇 형사를 소집해 상황을 파악하고, 범죄현장에 들른 후 용의자 심문을 위해 경찰서로 향했다. 체포된 용의자 한 명이 제공한 정보에 따라, 다음날 아침 댄버리에서 차로 30분 떨어진 Roxbury의 한 에어비앤비 숙소에서 추가로 두 명의 용의자를 체포했으며, 백색 혼다 시빅도 회수했다.
Castrovinci에게 이번 사건은 매우 이례적이며 극적인 사건이었다. 댄버리는 부유하고 조용한 지역으로, 경찰이 납치 사건을 처리하기는 해도 거의 대부분 아이 양육권 분쟁과 관련된 경우였다. 이런 식의 대낮 폭력 납치는 들어본 적도 없었다. 더욱 이상한 점은 수사기관이 용의자들이 18세에서 26세 사이의 젊은이들이며, 마이애미에서 특별히 코네티컷까지 왔다는 사실을 확인했다는 점이었다.
또한 그들은 Turo 앱을 통해 밴을 렌트했다. "경찰 생활을 하면서 일생에 겨우 한두 번 겪을 법한 사건이다." 20년간의 수사 경험을 갖고 있으며 뉴욕경찰청에서 5년간 근무했던 Castrovinci는 필자에게 이렇게 말했다. "특히 우리 같은 지역에서는 이런 일이 거의 발생하지 않는다."
경찰은 이후 몇 주 동안 외부에 거의 정보를 공개하지 않았다. Castrovinci와 그의 팀은 범행 동기를 맞추기 위해 노력했다. Chetal 부부가 Sushil의 투자은행 임원 직책 때문에 표적이 되었다고 보기에는 어렵다. 모건스탠리 부사장이라는 직책은 연봉이 부럽긴 하지만 댄버리 지역에서는 특별히 두드러지지 않는다. 만약 납치범들의 목적은 돈이라면, Chetal 부부의 람보르기니(후에 숲속에 버려진 채 발견됨)를 방치했다는 점이 매우 이상하다. 모든 단서가 맞지 않았다.
하지만 미수 납치 사건 발생 며칠 후, Castrovinci는 팀이 FBI로부터 정보를 받아 전체 사건에 예상치 못한 전환점이 생겼다고 말했다. 이번 사건은 일주일 전 발생한 거액의 암호화폐 절도 사건과 관련이 있을 수 있다는 것이다.
젊은이들(일부는 마인크래프트 서버를 통해 알게 됨)이 무방비 상태의 피해자로부터 2억 5천만 달러를 훔쳐낸 혐의를 받으며, 이로 인해 청소년 사이버 범죄 조직, 그들의 행동을 추적하는 독립적인 온라인 수사관들, 그리고 여러 수사기관이 연루된 믿기 어려운 일련의 사건들이 발생했다. 이제 이 모든 것이 결국 Chetal 부부의 납치 사건으로 이어졌고, 디지털 암흑세계와 그 주변 문화의 무질서가 현실 세계에 이렇게 잔혹하고 직접적으로 스며든 것이다.
이 일련의 사건은 몇 주 전부터 시작됐다. 워싱턴 D.C.에 거주하는 한 사람이 해외에서 로그인한 것으로 보이는 구글 계정 이상 알림을 받기 시작했다. 이어 8월 18일, 그는 구글 보안팀이라고 주장하는 전화를 받았다. 전화를 건 사람은 그의 메일 계정이 해킹당했다고 말했다. 이 전화는 매우 진실해 보였고, 통화 상대는 D.C. 거주자의 개인정보를 알고 있었다. 그는 전화로 일부 개인정보를 인증해야 계정이 폐쇄되지 않는다고 요구했고, 이 사람은 그대로 따랐다.
소위 구글 직원과의 통화 직후, 워싱턴 D.C. 거주자는 또 다른 전화를 받았는데, 이번엔 유명한 암호화폐 거래소 Gemini의 보안팀 직원이라고 소개했다.
마찬가지로, 통화 상대는 그의 개인정보를 알고 있었으며, 그의 Gemini 계정(약 450만 달러 상당의 암호화폐 보유)이 해커에게 침투당했으며 즉시 이중 인증을 재설정하고 계정 내 비트코인을 다른 지갑으로 이체해 자산을 보호해야 한다고 말했다.
전화 상대는 이후 계정 소유자가 '보안 강화' 프로그램을 다운로드할 것을 권유했다. 이 남성은 동의했지만, 실제로는 원격 데스크톱 애플리케이션을 다운로드한 것이었고, 이를 통해 통화 상대는 그의 컴퓨터를 원격 제어할 수 있게 되었으며, 결과적으로 그의 다른 암호화폐 계정에 접근해 더 큰 규모의 자산을 도난당할 위험에 노출됐다. 실제로 이 워싱턴 D.C. 거주자는 암호화폐 초기 투자자로, 총 4,100개 이상의 비트코인을 보유하고 있었다. 10년 전 이 비트코인 가치는 약 100만 달러였지만, 그날에는 시가총액이 2억 4,300만 달러를 넘었다.
암호화폐 세계에는 핵심적인 역설이 존재한다. 비록 화폐 소유자는 일반적으로 익명이지만, 모든 거래 기록은 블록체인이라는 장부에 공개적으로 기록된다. 즉, 자금이 이동하면 누구나 그 이력을 볼 수 있다. 이 역설은 새로운 종류의 수사관들을 탄생시켰는데, 바로 블록체인에서 의심스러운 거래를 추적하는 사람들이다. 그 중에서도 가장 유명한 인물이 바로 ZachXBT로, 독립적인 암호화폐 범죄 수사관이다.
암호화폐 세계에서 ZachXBT는 잘 알려져 있지만 정체를 숨기는 인물이다. 그는 종종 X(구 트위터)에 장문의 수사 포스트를 게시하며 불법 행위 혐의자들을 폭로하며, 때로는 직접 이름을 거론하기도 한다. 그는 약 85만 명의 팔로워를 보유하고 있으며, 수사 결과를 종종 수사기관과 공유한다. 와이어드(Wired)지는 그를 "세계에서 가장 활발한 독립 암호화폐 범죄 수사관"이라고 표현했다. 그는 자신의 실제 신원을 온라인에서 공개한 적이 없다.
워싱턴 D.C. 거주자의 암호화폐 자산이 사라진 지 몇 분 후, ZachXBT는 공항에서 비행기를 타기 위해 이동 중이었고, 갑자기 휴대폰에 비정상적인 거래 알림이 떴다. 암호화폐 수사관들은 보통 도구를 사용해 전 세계 암호화폐 흐름을 모니터링하며, 예를 들어 10만 달러 이상의 거래가 보안이 느슨한 특정 거래소를 통해 이루어질 경우 알림을 설정한다.
초기 알림은 6자리 수의 거래였지만, 금액은 계속 상승해 최고 200만 달러에 달했다. 보안검색을 마친 후, ZachXBT는 자리에 앉아 노트북을 열고 해당 거래를 추적하기 시작했고, 결국 약 2억 4천만 달러 상당의 암호화폐를 보유한 지갑으로 거슬러 올라갔다. 일부 비트코인은 2012년까지 거슬러 올라갔다. "당시 저는 바로 이상하다고 느꼈습니다," 그는 내게 말했다. "왜 오랫동안 비트코인을 보유한 사람이 자주 불법 자금이 흘러들어가는 의심스러운 서비스를 이용할까요?"
그는 이후 해당 거래와 관련된 지갑 주소를 자신의 추적 리스트에 추가한 후 비행기에 탑승했다. 기내 Wi-Fi에 접속하자마자, 더 많은 거래 알림이 계속해서 쏟아졌다. 하루 종일, 그 거대 지갑에서 나온 비트코인이 15개 이상의 고수수료 암호화폐 플랫폼을 통해 차례로 현금화되었다.
비행기가 착륙한 후, ZachXBT는 암호화폐 절도 사건을 전문으로 조사하는 몇몇 동료들에게 연락했다. 그 중 한 명이 Cryptoforensic Investigators의 수사 책임자인 Josh Cooper-Duckett였다. 이 회사는 암호화폐 절도 및 사기 사건을 추적하고 수사기관과 협력해 피해자에게 자금을 회수하는 데 초점을 맞춘 독립 기관 중 하나다. 26세의 Cooper-Duckett는 런던 출신으로 초기부터 암호화폐에 관심을 가졌으며, 드웰(Deloitte)에서 3년 반 동안 보안 컨설턴트로 일한 후, 특히 손실액이 최소 10만 달러 이상인 암호화폐 절도 사건을 조사하는 데 집중하기 시작했다. 지금은 그런 사건이 매우 흔하다.
ZachXBT는 자신의 발견을 Cooper-Duckett과 다른 수사관들에게 공유했고, 모두는 2억 5천만 달러에 달하는 지갑을 한 번에 비우는 행동이 매우 의심스럽다고 판단했다. "이렇게 많은 돈을 가진 사람이 주말에 갑자기 '거래소 여러 군데에 나눠서 이체한 후 모네로와 이더리움으로 바꾸겠다'고 결정할 리 없어요. 정상적인 사람은 그렇게 하지 않습니다."
이 암호화폐 수사관들은 즉시 관련 거래소 및 서비스 플랫폼에 연락해 이 자금이 도난된 것임을 알리고, 자금을 동결하고 수사에 협조해줄 것을 요청했다. 일부 플랫폼은 협조했지만, 그렇지 않은 곳도 있었다. "이번 사건은 마치 두더지 잡기 게임 같았습니다," Cooper-Duckett는 말했다. "그들은 계속해서 돈을 다양한 거래소와 플랫폼으로 옮기며 어디선가 성공적으로 자금세탁이 될지 시험하고 있었습니다. 결국, 그들이 씻어야 할 돈이 2억 4천만 달러니까요. 천문학적인 금액이죠."
한편 ZachXBT는 X를 통해 팔로워들에게도 경고를 보냈다. "약 7시간 전, 의심스러운 거래가 발생했으며, 피해자의 계정에서 4,064개의 비트코인이(약 2억 3,800만 달러) 이체되었습니다." 그는 썼다. 이후 자금은 THORChain, eXch, KuCoin, ChangeNOW, RAILGUN, Avalanche Bridge 등의 암호화폐 플랫폼으로 흘러갔다.
ZachXBT는 또한 피해자가 이전에 Genesis 회사로부터 파산 배상을 받았다는 사실을 알아냈다. Genesis는 Sam Bankman-Fried의 FTX 붕괴로 인해 2023년에 파산신청을 한 대출 플랫폼이다.
자신의 인맥 네트워크를 통해 ZachXBT는 결국 이 피해자에게 이메일로 연락할 수 있었다. 충격에 빠진 워싱턴 D.C. 거주자는 이후 ZachXBT와 Cryptoforensic Investigators, 또 다른 암호화폐 수사 회사를 고용해 도난당한 자산을 추적하도록 했다.
같은 날, 그는 연방수사국(FBI)의 인터넷 범죄 신고센터(IC3)에 신고를 접수했고, ZachXBT도 즉시 수사기관 내 지인들과 연락을 취했다. (FBI와 사법부는 이번 사건에 대해 인터뷰를 거부했다.)
암호화폐 절도 사건의 증가 속도는 연방 수사관들이 감당하기 어려울 정도로 빠르다. 최신 보고서에 따르면, IC3는 2023년에 암호화폐 금융사기와 관련된 6만 9천 건 이상의 신고를 받았으며, 총 피해액은 56억 달러를 넘었고, 이는 2022년보다 45% 증가한 수치다.
암호화폐 관련 신고는 모든 금융사기 사건의 10%에 불과하지만, 피해 금액은 전체의 거의 절반을 차지한다. 보고서는 암호화폐의 탈중앙화 특성, 거래의 비가역성, 전 세계 자유로운 자금 이동이 범죄자들에게 매우 매력적이며, 연방수사국(FBI)이 자금을 회수하는 데 큰 어려움을 겪고 있다고 지적한다. 이에 따라 FBI는 2022년 가상자산부(Virtual Assets Unit, V.A.U.)를 설립해 암호화폐 절도 범죄를 전담 수사하고 있다.
사건의 규모가 크고 해결이 어렵기 때문에 전문가들은 F.B.I., 국토안보부, 비밀경호국, 심지어 국세청(IRS)까지 포함한 정부 기관들이 디지털 범죄의 지하 세계에 대한 깊은 이해를 가진 민간 회사와 개인 수사관들의 도움을 받아야 한다고 말한다. "Josh와 Zach은 정말 빠르고 정확하게 추적합니다," 암호화폐 분석회사 Five I's의 창립자 Nick Bax는 말했다.
Bax는 여러 사건에서 ZachXBT와 협업했지만 그의 진면목을 본 적은 없다. 초기 통화에서 ZachXBT는 변성기를 사용해 미키마우스처럼 말하기도 했다. "솔직히 저도 꽤 잘하지만, 그들 앞에서는 결코 따라잡을 수 없습니다," Bax는 말했다. "그리고 저는 그들의 뇌가 정말 개조된 게 아닌가 싶어요. 어릴 때부터 계속 해왔기 때문이죠."
암호화폐 수사관들은 종종 가짜 계정을 사용해 Telegram, Discord 등 해커와 사기범들이 모이는 포럼에 침투해 그들의 대화, 계획, 과시 행위를 관찰한다. 그들은 범죄자들이 대체로 매우 어리고 경솔하게 행동하며 실수로 단서를 남기곤 한다는 것을 발견한다.
ZachXBT가 X에 이번 절도 사건에 관한 포스트를 게시한 후, 한 정보제공자가 일시적인 계정을 통해 그에게 연락해 절도범의 신원을 시사할 수 있는 단서를 제공했다. 이 제보자는 ZachXBT에게 촬영한 몇 개의 화면 녹화 영상을 보냈는데, 이는 한 사기범이 친구들에게 절도 과정을 라이브 스트리밍할 때 녹화된 것이다. 총 1시간 30분가량의 영상에는 피해자와의 통화 장면도 포함되어 있었다. 한 영상에서 사기범들이 자신들이 2억 4,300만 달러 상당의 비트코인을 성공적으로 훔쳤다는 사실을 알고 흥분하며 소리친다. "오, 맙소사! 오, 맙소사! 2억 4,300만 달러! 짱이야! 오, 맙소사! 오, 맙소사! 형님!"
비공개 대화에서 이 사기범들은 Swag, $$$, Meech 등의 별명을 사용했지만, 치명적인 실수를 저질렀다. 한 사람이 라이브 스트리밍 중 실수로 자신의 Windows 데스크탑을 노출시킨 것이다. 시작 메뉴 하단에 나타난 아이콘에는 그의 본명이 적혀 있었는데, 바로 Veer Chetal, 댄버리 출신의 18세 소년이었으며, 앞서 언급된 납치 피해자 부부의 아들이었다.
Veer Chetal은 조용한 우등생이었고 최근 댄버리의 성모 고등학교(Immaculate High School)를 졸업했으며, 뉴저지주의 럿거스 대학교(Rutgers University)에 진학할 예정이었다. 2022년, 그는 '미래의 변호사' 프로그램을 수료했고, 당시 학교 웹사이트에는 그의 사진이 실렸다. 안경을 쓰고 Tommy Hilfiger 윈드브레이커와 빨간 폴로 셔츠를 입은, 환하게 웃는 소년이었다.
친구들은 Chetal이 항상 수줍어했고 차를 좋아했다고 회상한다. "그는 기본적으로 항상 혼자 다녔어요," 고등학교 3학년 때 Chetal과 친구가 된 Marco Dias가 말했다. 또 다른 친구인 Nick Paris도 Chetal이 평소 조용했지만, 고등학교 3학년 중반 어느 날 갑자기 코벳(Corvette) 스포츠카를 몰고 등교한 이후 달라졌다고 말했다. "그가 주차장에 차를 세우자마자, 오전 7시 30분인데 모두 충격에 빠졌어요," Paris가 말했다.
얼마 지나지 않아 Chetal은 BMW로 바꿨고, 이후에는 람보르기니 우루스를 탔다. 루이비통 셔츠, 구찌 신발을 입기 시작했다. 고등학교 고학년들의 결석일(Senior Skip Day)에 Paris와 다른 친구들은 근처 쇼핑몰에 갔지만, Chetal은 Dias를 포함한 일부 친구들을 데리고 뉴욕으로 가 요트를 빌려 파티를 열었고, 갑판에서 다발의 현금을 들고 사진을 찍었다.
Chetal은 자신이 암호화폐 투자로 이 돈을 벌었다고 주장했다. Dias는 어느 날 아침 자습시간에 Chetal이 휴대폰으로 거래 내역을 보여줬다고 말했다. 또 한 번은 코네티컷주 스탬퍼드(Stamford)에 큰 집을 빌려 친구들을 초대해 3일간 파티를 열기도 했다. "한 번은 지하실에서 친구들과 장난치고 있는데, 그가 혼자 소파에 누워 핸드폰을 만지작거리며 거의 모든 시간을 피하고 있었어요," Dias는 회상했다. "그때 제가 생각했죠, 참 이상하다고." Paris는 또 한 번 학교 퍼레이드 도중 경찰이 교통 위반으로 Chetal의 람보르기니 우루스를 단속하자, "그는 경찰이 질문하기도 전에 바로 변호사에게 전화를 걸었어요. 모두가 생각했죠, 와, 이 친구 진짜 대단하네, 진짜 돈이 있구나."
독립 수사관들은 Chetal이 Com(Comm 또는 Community라고도 함)이라는 조직의 비밀 회원이었다고 지적한다. 이 조직은 1980년대의 해커 지하세계에서 기원했으며, 현재는 사이버 범죄자들과 야심가들의 소셜 네트워크로 진화했다.
FBI 서약서에 따르면, 무관한 사건에서 한 수사관은 Com을 "Discord 및 Telegram과 같은 온라인 통신 소프트웨어를 통해 협력하며 다양한 범죄 활동을 수행하는 지리적으로 분산된 소규모 그룹 연합"이라고 묘사했다.
이 서약서와 Com 연구 전문가들에 따르면, 이 하위 그룹들의 활동에는 스왓팅(swatting, 경찰이나 학교 등에 허위 신고를 보내 경찰 출동을 유도하는 행위), SIM 카드 하이재킹(SIM swapping, 고객 서비스 직원을 속여 목표의 전화번호를 훔치는 행위), 랜섬웨어 공격(ransomware attacks, 악성 프로그램을 이용해 사용자나 조직의 컴퓨터 파일 접근을 차단하는 공격), 암호화폐 절도, 기업 시스템 침투 등이 포함된다.
Allison Nixon은 사이버 보안 전문 그룹 Unit 221B의 수석 연구원으로, 2011년부터 이 끊임없이 확장되는 온라인 공간을 연구해 왔으며, 현재 Com 조직 연구 분야의 세계적 권위자 중 한 명으로 인정받고 있다.
그녀에 따르면 Com 회원들은 주로 서구권 출신의 젊은 남성들이다. 그룹 채팅에서 많은 사람들이 대학 생활과 사이버 보안 수업을 수강 중이라고 이야기하는데, 이러한 지식이 범죄 활동에 활용된다. Nixon은 많은 사람이 초기에
2010년대 중반, <마인크래프트(Minecraft)>라는 창의적 건축 중심의 게임 속에서도 더욱 어두운 세계가 등장하기 시작했다. 이 변화는 주로 온라인 서버 덕분이었다. 사용자가 소유하고 운영하는 이 서버들은 플레이어들이 팀을 이루어 전투를 벌일 수 있게 했고, 이를 '파벌(factions)'이라고 불렀다. 이 서버들에서 마인크래프트는 치열한 경쟁의 장으로 변모했고, 이에 따라 수익과 사기의 기회가 생겨났다.
이후 곧 서버들은 인앱 결제 시스템을 도입했고, 플레이어는 비행 능력, 강력한 무기와 갑옷 같은 업그레이드를 구매할 수 있었다. 일부 유료 아이템은 세련된 캐릭터 복장을 해금해 플레이어가 온라인에서 지위를 자랑하는 수단이 되었다.
플레이어들이 점점 더 이런 경쟁 서버에 참여하게 되자, Discord에는 게임 아이템과 희귀한 사용자 이름을 거래하는 대규모 암시장이 형성되었다. 마인크래프트 플레이어 대부분이 청소년이기 때문에 이 암시장은 곧 사기의 온상이 되었다.
사용자들은 종종 PayPal로 현실화폐를 지불하고 게임 아이템을 받기로 약속했지만, 돈을 받은 후 사기범은 상대방을 차단했다. 이런 행위가 너무 만연해지자, 사람들이 '중개 서비스'를 제공하기 시작했다. 이 중개인은 수수료를 받고 돈과 물건을 대신 보관한 후 각각 거래 당사자에게 전달했다.
이圈子에서 고가의 사용자 이름은 수집품처럼 인기를 끌었고, 보통 4글자 이하로 Tree, OK, Mark, YOLO, G 등이 있었으며, 가격이 1만 달러를 넘는 경우도 있었다.
마인크래프트의 '파벌' 서버와 암시장이 번성하면서, 가상화폐도 이 커뮤니티에서 인기를 끌었고, 결국 PayPal을 대체해 주류 거래 수단이 되었다. 처벌이 없는 경쟁, 도박, 사기 연습장에 더해 플레이어들이 암호화폐에 익숙해지면서 마인크래프트 서버는 사이버 범죄 신인을 양성하는 '온상'이 되었다.
2017년, 비트코인 가격이 급등하면서 Com 회원들은 마인크래프트 사기에서 암호화폐 절도로 자연스럽게 전환했다. Com에서 가장 인기 있는 포럼 중 하나는 'OGUsers'였는데, 처음에는 소셜미디어 계정과 사용자 이름을 논의하고 구매하는 플랫폼이었지만, 이후 SIM 카드 하이재킹, 트위터 계정 침입 등을 포함한 사이버 범죄의 온상이 되었다.
Nixon은 설명한다. "이 반사회적 커뮤니티는 매우 빠르게 일약 부자가 된 '해커 부자' 집단으로 변모했고, 이런 문화를 전파했습니다. 사람들이 갑자기 백만장자가 되는 모습을 보고 어떻게 그랬는지 알고 싶어했기 때문이죠." 이로 인해 Com의 규모는 급속도로 확장되었다.
Com이 현재 가장 많이 사용하는 암호화폐 절도 수법은 '사회공학(social engineering)'으로, 사람의 심리를 조작해 민감한 정보를 유출하게 만드는 방식이다. Com 회원들은 데이터 유출로 얻은 대량의 잠재적 피해자 목록을 만들고, 이를 개별적으로 정밀 타격한다. 워싱턴 D.C.의 피해자 사건 역시 이런 방식이었다. 때때로 그들은 온라인에 '채용 공고'를 올려 사기 실행을 도와줄 사람을 모집하기도 한다.
암호화폐 수사관 Nick Bax는 Telegram에 올라온 채용 공고를 공유했는데, 여기서는 '5f a week'(즉 주당 5자리 수 보수)를 제시하며 "너무 느리지만 않으면" 잠재적 타깃에게 전화를 걸 것을 요구했다. 공고는 "미국식 전문 고객 서비스 목소리 필수"라고도 적었다. 절도 후 Com 회원들은 때때로 마인크래프트 암시장으로 돌아가 도난한 암호화폐로 희귀한 게임 아이템을 구입한 후, 이를 PayPal로 판매해 현실 현금을 얻는 방식으로 자금세탁을 한다.
ZachXBT가 Veer Chetal의 실명을 확인한 후, 그와 다른 수사관들은 더 많은 관련 인물을 빠르게 추적했다. ZachXBT가 입수한 녹취에서 절도범들은 서로를 Com의 별명으로 부르거나 때때로 실명을 직접 언급했다. 반복적으로 언급된 이름 중 하나는 Malone, 즉 Malone Lam이었다.
Malone Lam은 20세의 싱가포르인으로, Com 커뮤니티에서 악명 높은 인물이며, 온라인 별명으로 Greavys와 Anne Hathaway를 사용한다. 그는 숙련된 마인크래프트 플레이어이기도 하며, 앞머리를 기울여 자르고, 서버에서 자주 정지당하지만 언제나 방법을 찾아 복귀한다. 2023년 봄, 그는 Minecadia 서버에서 관리자와 충돌해 일부 게임 아이템을 잃자, 관리자를 '리서치(hunting)'해 그들의 주소와 사회보장번호를 인터넷에 공개했으며, 적어도 한 번은 응급 서비스를 호출해 집으로 방해를 가기도 했다.
여러 사용자들과 당시의 Discord 채팅 기록에 따르면, Chetal과 Lam은 마인크래프트를 통해 알게 되었으며, Lam이 이끄는 '파벌'에서 함께 게임을 했다.
2023년 10월, Lam은 90일 비자로 미국에 입국했다. 그는 이미 마인크래프트를 거의 하지 않았다. 법원 문서에 따르면, 그는 이후 암호화폐 관련 다른 사기 수법으로 생활비를 벌었다.
2024년 8월 암호화폐 절도 사건 발생 후, ZachXBT는 OSINT(공개 정보 수집 기술)를 통해, 즉 소셜미디어를 통해 Lam을 추적했다. Com의 채팅 그룹에서는 Lam이 돈을 난폭하게 쓰고 있다는 소문이 돌았고, 아무도 그의 돈 출처를 몰랐지만, 로스앤젤레스 클럽에서의 사치스러운 삶에 대해 언급했다.
ZachXBT는 해당 도시에서 가장 인기 있는 클럽을 조사하고 파티 참가자들과 클럽 자체의 인스타그램 동향을 확인했다. 한 게시물에서 Malone은 흰색 몽클레르 외투를 입고 다이아몬드 반지와 다이아몬드가 박힌 선글라스를 착용하고 있었다. 그는 테이블 위로 올라가人群에게 100달러 지폐를 뿌리기 시작했다.
돈이 비처럼 쏟아지자, 웨이터들은 1,500달러짜리 샴페인 병을 들고 왔고, 병 입구에는 불꽃놀이가 꽂혀 있었으며, '[email protected]'라고 적힌 배너를 들고 있었다. 그는 그날 밤 단지 이 클럽에서만 569,528달러를 썼다. 또 다른 클럽에서 Lam과 그의 팀은 ZachXBT를 조롱하며, 클럽 손님들이 'TOLD U WE'D WIN'(우리가 이길 거라 했잖아)이라고 쓴 배너를 들게 하고, 다른 하나에는 '[욕설] ZACHXBT'라고 쓴 배너를 들게 했다.
이후 몇 주 동안 Lam은 맞춤형 람보르기니, 페라리, 포르쉐를 포함해 총 31대의 자동차를 구입했다. 일부 차량은 최고 300만 달러에 달했다. 8월 24일, 그는 한 모델에게 핑크색 람보르기니 사진을 보내며 문자를 보냈다. "선물 하나 사줬어. 생일 선물로 미리 줄게." 그녀는 답했다. "나 또 남자친구 생겼어." 그는 답했다. "idc"(나는 상관없어).
9월 10일, 로스앤젤레스에서 23일간의 파티 후, Lam은 친구들과 함께 전세기를 타고 마이애미로 향했다. 그곳에서 그는 10개의 침실을 갖춘, 가치 750만 달러의 저택을 포함해 여러 부동산을 임대했다. 며칠 안에 Lam은 주차장에 더 많은 고급 외제차를 늘어놓았고, 그중 람보르기니 한 대의 측면에는 'Malone'이라는 이름이 인쇄되어 있었다.
며칠에 한 번씩, ZachXBT는 수집한 정보를 수사기관에 전달했다. 정보는 주로 일방향으로 흘렀지만, 연방 당국도 동시에 자체 조사를 진행하고 있었다. 법원 문서에 따르면, 공모 혐의자들은 자금을 숨기고 신원을 은폐하기 위해 복잡한 자금세탁 수법을 사용했는데, eXch와 같은 고객 정보를 요구하지 않는 암호화폐 거래소를 이용했고, 가상 사설망(VPN)을 사용해 실제 위치를 숨겼다.
하지만 당국에 따르면, 적어도 한 번은 실수를 저질렀다. 한 용의자가 TradeOgre라는 디지털 통화 거래소에 계정을 등록할 때 VPN을 사용하는 것을 잊어, 연결된 IP 주소가 캘리포니아주 엔시노(Encino)에 위치한 월 47,500달러짜리 부동산을 가리켰다. 이 부동산은 21세의 Jeandiel Serrano가 임대한 것이었고, 그는 온라인에서 VersaceGod, @SkidStar, Box 등의 별명을 사용했다. 당국이 Serrano를 식별했을 때, 그는 여자친구와 몰디브에서 휴가 중이었다.
9월 18일, Serrano는 몰디브에서 로스앤젤레스 국제공항으로 돌아오는 비행기를 탔고, 집행관들이 공항에서 그를 기다리고 있었다. 그는 당시 50만 달러 상당의 시계를 착용하고 있었다. 체포 당시 Serrano는 처음에 절도 사건을 모른다고 부인했고, 변호사 없이 수사기관과 대화하는 것에 동의했다. 그러나 법원 보고서에 따르면, 그는 곧 자신의 공모 사실, 특히 Gemini 직원을 사칭한 행위를 인정했다.
Serrano는 자신이 5대의 차량을 소유하고 있으며, 그중 두 대는 공모자들이 준 것임을 인정했고, 이 차량 구입 자금은 이전 사기에서 나온 것이라고 밝혔다. 또한 자신의 휴대폰에 약 2,000만 달러 상당의 피해자의 암호화폐가 저장되어 있다는 사실을 인정하고, 이 자금을 FBI에 반환하는 데 동의했다.
한편 마이애미의 특수요원들은 Lam이 임대한 저택 중 한 곳을 급습할 준비를 하고 있었다. Lam은 급습이 임박했음을 알고 있었다. Serrano가 체포된 후, Serrano의 여자친구가 즉시 Lam의 공모자에게 전화를 걸어 경고했다. 이후 그들은 자신의 Telegram 계정과 휴대폰의 다른 증거를 삭제했다.
당일 오후, 마이애미 경찰과 협력한 FBI 요원들이 마이애미 해안 근처의 한 저택을 급습했다. 요원들은 폭파 장치로 정문의 금속 문을 열었고, 다른 팀은 후문의 작은 염수 운하를 통해 보트로 접근했다. 요원들이 집 안으로 들어서자 섬광탄의 폭발음이 인근 지역에 울려퍼졌다.
잠시 후, 한 요원이 수갑을 찬 Lam을 집 밖으로 데려왔다. 그는 긴팔 흰색 상의, 진한 빨간색 농구 반바지, 운
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@nytimes
