제재에서 법적 재판까지: Tornado Cash의 프라이버시와 책임 논쟁
글: 황원징
Tornado Cash: 프라이버시 옹호자일까, 돈세탁 도구일까?
Tornado Cash는 이더리움 블록체인에서 운영되는 탈중앙화 믹싱 프로토콜로서 강력한 프라이버시 보호 기능으로 인해 널리 사용되었으며, 동시에 규제 당국의 주목을 받았다.
2022년 8월 미국 재무부 해외자산통제국(OFAC)은 Tornado Cash를 제재 대상(SDN 리스트)에 포함시키며 돈세탁에 이용되었다고 주장했으며, 특히 북한 해커 그룹 라자루스(Lazarus 그룹)가 10억 달러 이상의 불법 자금 처리에 이를 활용했다고 지적했다. 이 조치는 미국이 처음으로 체인 상의 프로젝트에 제재를 가한 사례로 암호화폐 업계 전반에 충격을 주었다.
그러나 2025년 3월 21일, 상황에 변화가 생겼다. 미국 재무부는 갑작스럽게 제재를 철회하며 Tornado Cash 및 관련 모든 주소의 블랙리스트 지정을 해제했다. 이 결정은 다소 예견된 것이었다. 이미 2024년 11월 미국 제5순회항소법원은 재무부에 차가운 물을 끼얹으며 Tornado Cash의 핵심 스마트 계약이 '재산(property)'의 정의에 부합하지 않는다고 판결하고, 제재 조치가 권한을 초과했다고 인정한 바 있다.
그러나 제재의 해제는 개발자들이 완전히 자유로워졌음을 의미하지는 않는다. Alexey Pertsev는 이미 2024년 5월 네덜란드 법원에서 돈세탁 혐의로 5년 4개월의 징역형을 선고받았으며, 미국에 있는 Roman Storm 역시 여전히 법적 문제 속에 휘말려 있다.
이 사건은 하나의 논쟁을 촉발했다. 오픈소스 코드 작성자는 도구의 오용에 대해 책임을 져야 하는가? Solana 정책 연구소는 Storm과 Pertsev의 법적 방어를 위해 50만 달러를 지원하며 "코드 작성은 범죄가 아니다"라고 강조했으며, 이더리움 창시자 비탈릭 부테린(Vitalik Buterin) 등도 이들의 변호를 위해 자금을 모아 암호화 커뮤니티가 이 사건에 얼마나 큰 관심을 갖고 있는지를 보여주었다.
Roman Storm: 돈세탁 혐의로 기소되나, 배심원단 합의 실패
2023년 8월, Roman Storm은 '돈세탁', '제재 위반', '미등록 송금업 운영' 등을 포함한 8개 혐의로 미국 검찰에 기소되었다. 2025년 7월 14일, Storm의 재판이 뉴욕 맨해튼에서 시작되었다. 배심원단은 '돈세탁' 및 '제재 위반' 혐의에 관해 합의에 이르지 못해 해당 혐의들은 기각되거나 미결 상태로 남게 되었으나, Storm은 '미등록 송금업 운영 공모' 혐의에 유죄 판결을 받아 최대 5년의 형량을 선고받을 수 있게 되었다.
이 판결은 광범위한 논의를 불러일으켰다. 일부는 Storm이 기술 개발자로서 표현의 자유를 누려야 하며, 자신이 만든 탈중앙화 도구의 오용에 대해 책임지지 않아야 한다고 주장한다. 반면 다른 목소리는 Storm이 프로토콜의 각각의 사용 세부사항을 통제할 수 없더라도, 해당 도구가 광범위하게 불법 활동에 사용되고 있음을 알고도 이를 통제하지 않았다면 오용에 대해 책임을 져야 한다고 본다.
기술에는 죄가 없다: 법과 도덕의 경계
'기술에는 죄가 없다'는 구호는 오픈소스 커뮤니티와 탈중앙화 신봉자들 사이에서 널리 통용된다. 그 이면의 논리는 간단하다. 도구 자체는 중립적이며, 죄는 그것을 사용하는 사람에게 있다는 것이다.
많은 국가, 특히 미국은 기술 개발자를 창작자로 간주하여 표현의 자유를 보장한다. 즉 작성한 코드가 도구의 오용에 자동적으로 책임을 지지 않아야 함을 의미한다. 예를 들어, 미국 '통신질서법'(Communications Decency Act) 제230조에 따르면, 인터넷 서비스 제공자는 플랫폼 상의 사용자 행동으로 인해 책임을 지지 않는 경우가 일반적이다. 이 조항은 주로 인터넷 플랫폼에 적용되지만, 개발자가 직접 불법 행위에 관여하지 않는 한, 탈중앙화 프로토콜 개발자들에게도 유사한 보호를 제공한다.
그러나 모든 국가가 이러한 개념을 동일하게 수용하는 것은 아니다. 예를 들어 네덜란드에서는 Tornado Cash 개발자 Alexey Pertsev가 돈세탁 방조 혐의로 유죄 판결을 받았으며, 네덜란드 법원은 오픈소스 소프트웨어 개발자가 도구의 오용에 대해 일정 부분 책임을 질 수 있다고 판단했다. 이는 서로 다른 사법권이 기술 책임에 대해 어떻게 다른 입장을 취하고 있는지를 보여준다.
돈세탁죄의 성립 요건
미국에서는 돈세탁죄가 일반적으로 '돈세탁통제법(Money Laundering Control Act)'에 근거하여 기소된다. 이 법에 따르면 돈세탁 행위란 은행이나 기타 금융기관을 통해 불법 자금을 이전하면서 이를 숨기거나 위장하거나 불법 수익을 합법화하려는 목적을 포함한다. 돈세탁죄의 구성요건은 주로 자금의 불법적 기원과 자금 출처를 은폐하기 위한 다양한 거래가 포함된다.
'인지(knowingly)' 요건
대부분의 사법권에서는 '불법 수익임을 인지함'을 돈세탁죄의 주관적 요건으로 삼는다. 즉 피고는 자신이 참여하는 활동이 불법 자금 이전과 관련되어 있음을 알고 있어야 한다. 피고가 자금의 불법 기원을 전혀 몰랐다면, 일반적으로 돈세탁 의도가 없다고 간주되며 미국 역시 마찬가지이다. 그러나 어떤 경우에는 피고가 자금 출처의 불법성을 '인지'하고 있다는 명확한 증거가 없더라도, 합리적인 의심을 했거나 고의로 무시한 것으로 입증될 경우, 돈세탁 관련 책임이 성립될 수 있다.
예를 들어, 돈세탁통제법 제1956조는 누구든지 '인지하거나 합리적인 이유로 알았을 경우'(knows or has reason to know), 금융거래가 불법 자금과 관련되어 있음을 인지하면 돈세탁 행위에 참여한 것으로 간주될 수 있다고 명시하고 있다. 즉 피고가 자금 출처의 불법성을 '인지'하고 있다는 직접 증거가 없더라도, 명백한 의심 정황이나 방임 행위가 존재한다면 법원은 여전히 돈세탁 혐의를 인정할 수 있음을 의미한다.
Tornado Cash 개발자의 '인지' 문제
Tornado Cash 사건에서 개발자들이 '인지' 요건을 충족하는지 여부는 그들이 돈세탁 행위에 대해 책임을 져야 하는지를 판단하는 핵심 쟁점이 되었다. 미국 검찰의 주장에 따르면, Tornado Cash 개발자들은 익명 송금을 가능하게 하는 도구를 '고의로' 만들었으며, 이는 돈세탁 활동을 용이하게 했다고 지적한다. 그러나 변호 측은 탈중앙화 프로토콜 개발자로서 프로토콜이 어떻게 오용되는지를 통제하거나 구체적으로 인지할 수 없다고 주장한다.
개발자들이 '인지' 요건을 충족하는지 여부에 대해 법원은 다음과 같은 요소들을 고려할 수 있다:
1. 기술 도구의 목적: Tornado Cash는 오픈소스이며 탈중앙화된 프로토콜로서 이론적으로 사용자 프라이버시를 강화하기 위해 설계된 것이지, 돈세탁 전용으로 설계된 것은 아니다. 그러나 개발자가 도구를 설계할 때 그것이 불법 활동에 사용될 가능성을 예견해야 했는지를 법원이 인정할지는 여전히 논쟁의 여지가 있다.
2. 공개 정보 및 경고: 개발자나 커뮤니티가 해당 도구가 자주 불법 거래에 사용되고 있음을 인식하고 있었음에도 불구하고 이를 제지하거나 경고하는 조치를 취하지 않았다면, 법원은 개발자가 '인지'했거나 고의로 무시했다고 판단할 수 있다.
3. 개발자의 행동과 책임: 미국 검찰은 Tornado Cash 개발자가 도구의 오용 가능성에 대해 충분히 이해하고 있었거나, 도구의 익명성에 필요한 제약이나 감시를 하지 않았다면, 도구가 돈세탁에 사용되고 있음을 '인지'한 것으로 볼 수 있다고 주장할 수 있다.
이러한 요소들은 탈중앙화 금융 도구 개발 시 개발자의 책임에 대한 다양한 관점을 제시한다. 기술의 본래 의도가 범죄가 아니더라도, 도구의 오용 이후 개발자의 책임을 어떻게 규정할 것인가는 분명히 복잡하고 다층적인 문제이다. 사건의 진행 과정에서 법이 혁신과 규제 준수를 어떻게 균형 잡을지 여부는 향후 블록체인 기술의 방향성에 영향을 줄 가능성이 있다.
맺음말: 혁신의 대가는 누구에게?
Tornado Cash 사건은 이미 특정 개발자의 운명을 넘어선 상태이며, 탈중앙화 금융 산업 전체의 경계를 설정하고 있다. 오픈소스 코드 작성자조차 사용자의 불법 행위로 인해 감옥에 갈 수 있다면, 앞으로 누가 혁신을 감히 할 것인가? 반대로, 익명 도구의 무분별한 확산을 완전히 방치한다면 범죄 활동은 더욱 기승을 부릴 뿐일 것이다.
이 사건은 미래의 지표가 될 가능성이 크다. 최종 결과는 단지 Storm의 운명을 결정짓는 것을 넘어서, 암호화 커뮤니티 전체의 행동 기준을 '모델링'하는 역할을 할 것이다. 프라이버시와 규제 준수라는 저울 위에서 기술, 법, 사회는 어떻게 타협해야 할까? 어쩌면 그 답은 블록체인처럼, 아직 합의를 기다리고 있는지도 모른다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
