디지털 스테이블코인을 이용한 자금세탁 및 테러자금조달에 대한 초기적 고찰: USDT 블랙리스트의 체인 상 트래킹
저자: BlockSec
0. 서론
최근 몇 년간 스테이블코인이 급속도로 발전해 왔다. 광범위한 활용과 함께 규제 당국은 불법 자금을 동결할 수 있는 메커니즘 구축의 중요성을 강조하고 있다. 우리는 USDT 및 USDC와 같은 주요 스테이블코인이 이미 기술적으로 이러한 능력을 갖추고 있음을 확인했다. 실제로 이러한 메커니즘이 돈세탁 및 기타 불법 금융 활동 단속에 실제로 기여한 사례가 여러 차례 있었다.
더 나아가 우리의 연구 결과에 따르면, 스테이블코인은 돈세탁뿐 아니라 테러 조직의 자금 조달 과정에도 빈번히 사용되고 있다. 따라서 본 보고서는 다음 두 가지 관점에서 분석을 진행한다:
-
USDT 블랙리스트 주소의 동결 행위를 체계적으로 검토;
-
동결된 자금과 테러 자금 조달 간의 연관성 탐색.
본 보고서는 공개적으로 이용 가능한 체인 상 데이터를 기반으로 분석되었으며, 부정확하거나 누락된 정보가 포함될 수 있습니다. 의견이나 정정 제안은 언제든지 contact@blocksec.com으로 문의해 주시기 바랍니다.
1. USDT 블랙리스트 주소 분석
우리는 체인 상 이벤트 모니터링을 통해 Tether의 블랙리스트 주소를 식별하고 추적하였다. 분석 방법은 Tether 스마트 계약 소스 코드를 통해 검증되었다. 핵심 로직은 다음과 같다:
-
이벤트 식별: Tether 계약은 다음 두 가지 이벤트를 통해 블랙리스트 상태를 관리한다:
-
AddedBlackList: 블랙리스트에 새 주소 추가 -
RemovedBlackList: 블랙리스트에서 주소 제거
-
-
데이터셋 구성: 각각의 차단된 주소에 대해 다음 필드를 기록하였다:
-
주소 자체
-
블랙리스트 등재 시각 (blacklisted_at)
-
블랙리스트 해제 시각 (unblacklisted_at) – 해당 주소가 이후 차단 해제된 경우
-
다음은 스마트 계약 내 관련 함수의 구현 예시이다:
1.1 핵심 발견
이더리움 및 트론(Tron) 체인의 Tether 데이터를 기반으로 다음과 같은 경향을 발견하였다:
2016년 1월 1일부터 지금까지 총 5,188개 주소가 블랙리스트에 등재되었으며, 동결된 자금은 29억 달러 이상에 달한다.
특히 2025년 6월 13일부터 30일 사이에는 151개 주소가 차단되었으며, 이 중 90.07%가 트론 체인에서 발생하였다(주소 목록은 부록 참조). 동결된 금액은 총 8,634만 달러에 달하며, 블랙리스트 등재 일정은 6월 15일, 20일, 25일에 집중되어 있으며, 특히 6월 20일 하루에만 63개의 주소가 차단되었다.
-
동결 금액 분포: 상위 10개 주소의 동결 금액은 총 5,345만 달러로 전체 동결 금액의 61.91%를 차지한다. 평균 동결 금액은 57.18만 달러이지만 중앙값은 4만 달러에 불과하여 소수의 대규모 주소가 전체 평균을 끌어올렸으며, 대부분의 주소는 소액이 동결된 것으로 나타났다.
-
수명 주기 내 자금 흐름: 이들 주소는 누적 8.08억 달러를 수령했으나, 그중 7.21억 달러는 블랙리스트 등재 전 이미 송금되었으며, 실제로 동결된 금액은 8,634만 달러에 그쳤다. 이는 대부분의 자금이 규제 개입 이전에 성공적으로 이체되었음을 의미한다. 또한 17%의 주소는 출금 기록이 전혀 없어 일시적인 저장소 또는 자금 집계 지점으로 사용되었을 가능성이 있으며, 추가적인 주목이 필요하다.
-
신규 생성 주소가 더 쉽게 차단됨: 블랙리스트에 오른 주소 중 41%는 생성 후 30일 미만, 27%는 91~365일간 운영되었으며, 2년 이상 사용된 주소는 겨우 3%에 불과하다. 이는 신규 주소가 불법 활동에 더 많이 악용됨을 시사한다.
-
대부분의 주소가 "차단 전 도피"에 성공함: 약 54%의 주소가 차단되기 전에 자금의 90% 이상을 이체했으며, 10%는 동결 당시 잔액이 0이었다. 이는 법 집행 활동이 대부분 자금의 잔여 부분만 동결할 수 있음을 의미한다.
-
신규 주소의 돈세탁 효율이 더 높음: FlowRatio 대 DaysActive 산점도 분석을 통해 신규 주소가 수량, 차단 빈도, 송금 효율 측면에서 두드러진 성과를 보이며 가장 높은 돈세탁 성공률을 기록함을 확인하였다.
1.2 자금 흐름 추적
BlockSec의 체인 상 추적 도구 MetaSleuth (https://metasleuth.io)를 활용하여, 6월 13일부터 30일 사이에 블랙리스트에 오른 151개의 USDT 주소의 자금 흐름을 추가 분석하여 주요 자금 유입 및 유출 경로를 식별하였다.
1.2.1 자금 출처 분석
-
내부 오염(91개 주소): 이들 주소의 자금은 다른 블랙리스트에 오른 주소에서 유입된 것으로, 고도로 연결된 돈세탁 네트워크가 존재함을 나타낸다.
-
피싱 태그(37개 주소): 많은 상류 주소들이 MetaSleuth에서 "Fake Phishing"(가짜 피싱)으로 표시되어 있어, 불법 출처를 위장하기 위한 교란 태그일 가능성이 있다.
-
거래소 핫월렛(34개 주소): Binance(20), OKX(7), MEXC(7) 등의 거래소 핫월렛에서 자금이 유입되었으며, 이는 도난 계정 또는 '로메이트 계정(mule account)'과 관련이 있을 수 있다.
-
단일 주요 분배자(35개 주소): 동일한 블랙리스트 주소가 반복적으로 상류 역할을 수행하며, 집계 장치 또는 믹서 역할을 통해 자금을 분배했을 가능성 있다.
-
크로스체인 브릿지 진입점(2개 주소): 일부 자금이 크로스체인 브릿지를 통해 유입되어 크로스체인 돈세탁이 이루어졌음을 시사한다.
1.2.2 자금 유출 방향 분석
-
다른 블랙리스트 주소로 이체(54개): 블랙리스트 주소들 사이에 '내부 순환 체인' 구조가 존재한다.
-
중앙화 거래소로 이체(41개): 이들 주소는 Binance(30), Bybit(7) 등의 CEX 입금 주소로 자금을 이체하여 실물을 인출("下车")하였다.
-
크로스체인 브릿지로 이체(12개): 일부 자금이 트론 생태계를 벗어나 크로스체인 돈세탁을 계속하려 했음을 나타낸다.
주목할 점은 Binance 및 OKX가 자금 유입(핫월렛)과 유출(입금 주소) 양측 모두에 동시에 등장한다는 것이다. 이는 이들 거래소가 자금 흐름에서 중심적인 위치를 차지하고 있음을 더욱 부각시키며, 현재의 AML/CFT 실행 부족 및 자산 동결 지연이 불법 행위자가 규제 개입 전에 자산 이체를 완료하는 것을 용이하게 만들 수 있음을 시사한다.
우리는 주요 암호화폐 거래 플랫폼들이 핵심 통로로서 실시간 모니터링 및 리스크 차단 메커니즘을 강화하여 사전에 문제를 예방할 것을 권고한다.
2. 테러 자금 조달 분석
USDT가 테러 자금 조달에 어떻게 사용되는지 더 깊이 이해하기 위해, 이스라엘 국가 테러자금조달방지국(NBCTF)이 발표한 행정 동결 명령(Administrative Seizure Orders)을 분석하였다. 단일 데이터 소스라는 한계로 전체 상황을 재구성하기는 어렵지만, 이를 대표적인 샘플로 삼아 USDT의 테러 관련 거래에 대한 보수적 분석 및 추정을 수행하였다.
2.1 핵심 발견
-
발령 시점: 2025년 6월 13일 이스라엘-이란 갈등이 격화된 이후에도, 6월 26일 단 1건의 동결 명령만 추가되었다. 직전 문서는 6월 8일에 발행된 것으로, 지정학적 긴장 상황에서도 법 집행의 대응이 지연되고 있음을 보여준다.
-
대상 조직: 2024년 10월 7일 갈등 발발 이후 NBCTF는 총 8건의 동결 명령을 발행하였으며, 이 중 4건은 명시적으로 "하마스"를 언급하였고, 최신 명령서는 처음으로 "이란"을 언급하였다.
-
동결 명령에 포함된 주소 및 자산:
-
76개의 USDT (트론) 주소
-
16개의 BTC 주소
-
2개의 이더리움 주소
-
641개의 Binance 계정
-
8개의 OKX 계정
-
우리는 76개의 USDT(트론) 주소에 대한 체인 상 추적을 통해, Tether가 이러한 공식 명령에 응답하는 두 가지 행동 패턴을 확인하였다:
-
선제적 동결: Tether는 동결 명령서 발행 전에 이미 하마스 관련 주소 17개를 블랙리스트에 등재했으며, 평균 28일 앞서 조치를 취했고, 가장 빠른 경우 45일 전에 동결하였다.
-
신속한 대응: 나머지 주소들에 대해서는 동결 명령 공개 후 평균 2.1일 만에 동결을 완료하여, 우수한 법 집행 협력 능력을 보여주었다.
이러한 징후들은 Tether와 일부 국가의 법 집행 기관 사이에 밀접하고 심지어 선제적인 협력 메커니즘이 존재함을 시사한다.
3. 요약 및 AML/CFT가 직면한 과제
우리의 연구 결과, USDT와 같은 스테이블코인이 거래 통제를 위한 기술적 수단을 제공하지만, 현실에서는 여전히 다음과 같은 AML/CFT 과제가 존재한다:
3.1 핵심 과제
-
지연된 법 집행 vs 선제적 방지: 현재 대부분의 법 집행 활동은 사후 처리에 의존하고 있어, 불법 행위자에게 자산 이체를 위한 시간적 여유를 제공한다.
-
거래소의 규제 사각지대: 입출금의 핵심 허브인 중앙화 거래소는 종종 모니터링이 부족하여 이상 거래를 적시에 식별하기 어렵다.
-
크로스체인 돈세탁의 복잡성 증가: 다중 체인 생태계 및 크로스체인 브릿지의 활용으로 자금 이동이 더욱 은폐되며, 규제 추적이 극도로 어려워지고 있다.
3.2 제언
스테이블코인 발행사, 거래소 및 규제 기관에 다음과 같이 제안한다:
-
체인 상 정보 공유 강화;
-
실시간 행동 분석 기술에 대한 투자;
-
크로스체인 컴플라이언스 프레임워크 구축.
오직 신속하고, 협력적이며, 기술적으로 성숙한 AML/CFT 체계 하에서만 스테이블코인 생태계의 합법성과 안전성이 진정으로 보장될 수 있다.
4. BlockSec의 노력
BlockSec은 암호화폐 산업의 보안성과 컴플라이언스 강화를 위해 힘쓰고 있으며, AML 및 CFT를 위한 실질적이고 실행 가능한 체인 상 솔루션 개발에 집중하고 있다. 우리는 다음 두 가지 핵심 제품을 출시하였다:
4.1 Phalcon Compliance
거래소, 규제 기관, 결제 프로젝트, DEX를 위해 특별히 설계되었으며 다음을 지원한다:
-
다중 체인 주소 리스크 평가
-
실시간 거래 모니터링
-
블랙리스트 식별 및 경고
고객이 점점 엄격해지는 컴플라이언스 요구사항을 충족하도록 지원한다.
4.2 MetaSleuth
글로벌 20개 이상의 규제 및 법 집행 기관에서 채택한 시각화 체인 상 추적 플랫폼으로, 다음을 지원한다:
-
시각화된 자금 흐름 추적
-
다중 체인 주소 프로파일링
-
복잡한 경로 재구성 및 분석
이 두 가지 도구는 모두 우리의 사명 —— 탈중앙화 금융 시스템의 질서와 안전을 수호하는 것 —— 을 구현한다.
본문에 언급된 일부 주소:
https://docs.google.com/spreadsheets/d/1pz7SPTY2J4S7rGMiq6Dzi2Q5p0fXSGKzl9QF2PiV6Gw/edit?usp=sharing
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@BlockSecTeam
