비트코인 강도 사건의 내막: 5성급 호텔, 현금이 가득한 봉투와 사라진 자금
글: Joel Khalili
번역: Luffy, Foresight News
복잡한 암호화폐 사기 사건이 계속 늘고 있지만, 올해 초 한 비트코인 채굴 업체 임원이 당한 사건만큼 정교한 수법을 사용한 경우는 드물다.
Kent Halliburton이 집에서 수천 킬로미터 떨어진 암스테르담 중심가의 더 리츠 칼튼 호텔 목욕실에 서서, 1만 유로짜리 새 지폐로 가득 찬 봉투를 손가락으로 만지작거리며 자신이 도대체 무슨 일에 휘말렸는지 의심하기 시작했다.
Halliburton은 고객을 위해 비트코인 채굴 하드웨어를 운영하는 Sazmining의 공동 설립자이자 최고경영자(CEO)이다. 이른바 '채굴 서비스(Mining-as-a-Service)' 모델이다. Halliburton은 페루에 거주하고 있으나, Sazmining의 채굴 장비는 노르웨이, 파라과이, 에티오피아 및 미국의 제3자 데이터센터에 분산되어 있다.
Halliburton에 따르면, 그는 8월 5일 몬테네그로 출신 부유한 가문의 대리인이라 주장하는 Even과 Maxim를 만나기 위해 암스테르담으로 날아갔다. 이 패밀리 오피스는 Sazmining으로부터 수백 대의 비트코인 채굴기를 구매하려 했으며, 거래 규모는 약 400만 달러로, 장비는 Sazmining이 에티오피아에 건설 중인 광산에 설치될 예정이었다. 거래를 마무리하기 전, 패밀리 오피스는 Halliburton과 직접 대면 회동을 요구했다.
Halliburton이 리츠 칼튼 호텔에 도착했을 때, Even과 Maxim는 이미 박스석에 앉아 있었다. 두 사람은 특히 Maxim이 갈색 트리플 수트 정장을 입고 세련된 모습을 하고 있었으며, 검은 긴 머리를 가운데로 나누고, 소매에서는 로렉스 시계가 보였다. 그들은 일급 부랑객처럼 보였다.
생선회 위에 캐비어를 얹은 타코, 칠레산 그룹어, 체리 케이크 등 3코스 요리를 함께하며 거래 구조와 각자의 배경을 이야기했다. Even은 말이 많고 유머 감각이 있었으며 마라케시에서 열린 호화 파티 이야기를 했고, Maxim는 냉담한 태도를 유지하며 대부분 Halliburton을 오랫동안 응시하며 그를 평가하는 듯했다.
신뢰를 쌓기 위해 Even은 Halliburton에게 약 3,000달러 상당의 비트코인을 패밀리 오피스에 판매할 것을 제안했다. Halliburton은 처음엔 망설였지만 이를 특이한 '아이스브레이킹 의식' 정도로 여겼다. 한 명이 현금이 든 봉투를 주며 목욕실에서 돈을 세보라고 했다. "제임스 본드 영화 같았어요," Halliburton은 말했다. "저에겐 너무 생소한 경험이었죠."
Halliburton은 택시를 타고 떠났고, 회의에 대해선 혼란스러웠지만 패밀리 오피스와의 거래 성사 가능성에 희망을 품었다. 직원 15명 남짓한 Sazmining에게 이 거래는 혁명적인 변화를 가져올 수 있었다.
그로부터 2주도 채 되지 않아 Halliburton은 Even과 Maxim에게 20만 달러 이상의 비트코인을 빼앗겼다. 그는 Sazmining이 이번 타격을 버틸 수 있을지, 그리고 어떻게 자신이 사기에 걸렸는지도 알 수 없었다.
Even과 Maxim와의 점심 식사 후, Halliburton은 바로 라트비아로 날아가 비트코인 컨퍼런스에 참석했고, 이후 에티오피아로 가 데이터센터 건설 진행 상황을 확인했다.
에티오피아 체류 중 Halliburton은 Even으로부터 왓츠앱 메시지를 받았다. Even은 거래를 진전시키고 싶다고 했으나 조건이 하나 있었다. 리츠 칼튼 호텔에서의 소규모 비트코인 거래 이후, Sazmining이 패밀리 오피스에 더 많은 비트코인을 판매해야 한다는 것이었다. 결국 양측은 40만 달러 규모로 합의했는데, 이는 전체 거래액의 10%에 해당한다.
Even은 Halliburton이 계약 체결을 위해 다시 암스테르담으로 돌아오기를 요구했다. Halliburton은 이미 수주간 해외에 머물고 있었기에 반대했지만, Even은 단호했다. "원격 처리는 안 됩니다. 저는 지금 그런 방식으로 사업하지 않아요."
8월 16일 오후 일찍, Halliburton은 다시 암스테르담에 도착했다. 그날 저녁, 그는 5성급 호텔인 오쿠라 호텔의 테판야키 레스토랑에서 Maxim와 만나기로 되어 있었다. 레스토랑 내부는 전통 일본 스타일의 정교한 인테리어로, 나무 패널, 종이 벽, 선 정원, 로비의 나선형 계단에는 종이학이 매달려 있었다.
Halliburton은 레스토랑 외부 대기 공간 소파에 앉은 Maxim를 발견했다. 그는 화려한 실버 수트를 입고 있었다. 자리에 앉기 전, Maxim는 Sazmining이 Even이 제안한 추가 거래를 수행할 만큼 충분한 비트코인을 보유하고 있음을 증명할 것을 요구했으며, Halliburton에게 약속된 금액의 절반(약 22만 달러)을 패밀리 오피스가 신뢰하는 비트코인 월렛 앱으로 이체할 것을 요청했다. 자금은 여전히 Halliburton이 통제하는 것이지만, 패밀리 오피스는 공개된 거래 데이터를 통해 자금 존재를 확인할 수 있다.
Halliburton은 아이폰을 켰다. 수천 개의 긍정적 평가를 받은 Atomic Wallet이라는 앱은 애플 앱스토어에 오랫동안 등록되어 있었다. Maxim의 시선 아래에서 Halliburton은 해당 앱을 다운로드하고 새 지갑을 생성했다. "저는 그의 신뢰를 얻고 싶었습니다," Halliburton은 말했다. "400만 달러짜리 계약이니까요."
저녁 식사는 대체로 순조로웠다. Maxim은 이번엔 경계심이 덜했고, 자신의 고급 시계 사랑과 패밀리 오피스를 위해 거래 기회를 찾는 일에 대해 이야기했다. Halliburton은 장기간 여행으로 피로가 누적돼 얼른 끝내고 싶은 마음뿐이었다.
헤어질 때, 양측은 다음과 같은 약속을 했다. Maxim가 서명된 계약서를 패밀리 오피스에 제출하여 실행하고, Halliburton은 약속대로 22만 달러 상당의 비트코인을 새 지갑 주소로 이체하기로 했다.
호텔 방으로 돌아온 Halliburton은 새로운 Atomic Wallet 주소로 소액 테스트 거래를 수행한 후, 처음 앱 다운로드 시 생성된 개인 키(암기 문구)를 이용해 지갑을 재설정하여 기능이 정상인지 확인했다. "일부 보안 조치는 취해야 합니다. 이제 거의 준비됐습니다. 인내해주셔서 감사합니다." Halliburton은 Even에게 보낸 왓츠앱 메시지에 이렇게 적었다. Even은 "괜찮아요, 천천히 하세요"라고 답장했다.
오후 10시 45분, 테스트가 문제없이 완료되자 Halliburton은 동료에게 지시해 22만 달러 상당의 비트코인을 Atomic Wallet 주소로 이체하게 했다. 자금이 도착하자, 그는 업데이트된 잔액 스크린샷을 Even에게 보냈다. 1분 후, Even은 "감사합니다"라고 답했다.
Halliburton은 또다시 Even에게 계약 관련 메시지를 보내지만, 평소 빠르게 답했던 Even은 이번엔 아무런 반응이 없었다. Halliburton은 Atomic Wallet 앱을 열었고, 뭔가 잘못됐다는 느낌이 들었다—비트코인이 사라지고 없었다.
Halliburton은 즉시 메스꺼움을 느꼈고, 침대에 주저앉아 토할 것 같았다. "마치 배를 맞은 기분이었어요," 그는 말했다. "충격과 믿기지 않는 감정이 가득했습니다."
Halliburton은 어떻게 사기를 당했는지 곰곰이 생각해보려 했다. 오후 11시 30분, 그는 Even에게 다시 메시지를 보냈다. "제가 겪어본 가장 정교한 사기입니다. 당신은 전혀 신경 쓰지 않을지 모르지만, 제 회사는 망할지도 모릅니다. 저는 4년 동안 이것을 일구어왔어요."
Even은 부당한 행위가 없었다고 부인했지만, 이것이 Halliburton이 받은 마지막 메시지였다. Halliburton은 WIRED에 Even이 사용한 텔레그램 계정을 제공했으며, 이 계정은 자금이 훔쳐진 당일 마지막으로 활성화되었다. Even은 취재 요청에 응답하지 않았다.
블록체인 분석 회사 체인얼라이시스(Chainalysis)와 세르티크(CertiK)의 분석에 따르면, Halliburton의 지갑 자금은 수 시간 내에 여러 주소로 분할되어 이체되었으며, 제3자 플랫폼을 통해 암호화폐가 법정화폐로 교환되었다.
일부 비트코인은 여러 즉시 교환 플랫폼으로 분할되었고, 대부분은 하나의 단일 주소로 흘러들어갔으며, 체인얼라이시스가 '사기 거래'로 표시한 다른 자금들과 섞였다.所谓 '사기 거래'란 사기범들이 스타트업으로부터 암호화폐를 훔치기 위해 투자자 행세를 하는 사기를 말한다.
"사기범들이 이용한 서비스 자체는 불법이 아닐 수 있습니다," 체인얼라이시스 수사관 마고 옥클(Margaux Eckle)은 말했다. "하지만 그들이 사용한 자금 통합 주소는 알려진 사기 활동과 밀접하게 연결되어 있어, 조직적인 사기 조직임을 시사합니다."
이 통합 주소를 통과한 일부 비트코인은 암호화폐 거래소에 입금되었으며, 대부분 법정화폐로 전환되었을 가능성이 크다. 나머지 자금은 스테이블코인으로 전환되어 크로스체인 브릿지를 통해 트론(Tron) 블록체인으로 이동했다. 연구진은 이 블록체인에 대규모 암호화폐를 쉽게 현금화할 수 있는 OTC 서비스가 다수 존재한다고 설명했다.
여러 번의 이체, 분할, 교환 및 크로스체인 작업은 자금 출처 추적을 어렵게 만들고, 의심을 받지 않고 현금화할 수 있도록 하기 위한 목적이다. "이 사기범은 상당히 숙련되어 있습니다," 옥클은 말했다. "우리가 크로스체인 이후의 자금 흐름을 추적할 수는 있지만, 수사관들의 추적 속도를 늦추는 효과가 있습니다."
최종적으로 공개 거래 데이터상의 추적 단서는 끊긴다. 가해자를 특정하기 위해선 집행기관이 현금화 플랫폼에 소환장을 발부해야 하며, 이러한 플랫폼은 일반적으로 사용자 정보 수집을 요구받는다.
거래 데이터만으로는 사기범이 Halliburton의 허가 없이 어떻게 지갑 자금을 획득하고 이체했는지 정확히 알 수 없지만, 그와 사기범 간의 상호 작용 내용은 단서를 제공한다.
처음에 Halliburton은 2023년 북한 정부와 연계된 해커 조직의 공격과 관련이 있을 것이라 의심했다. 당시 Atomic Wallet 사용자 계정에서 1억 달러 상당의 자금이 훔쳐졌기 때문이다. (Atomic Wallet은 취재 요청에 응답하지 않았다.)
하지만 WIRED 인터뷰를 진행한 보안 연구원들은 Halliburton이 표적 감시형 공격의 피해자라고 보았다. "공개적으로 대량의 암호화폐를 보유한 임원은 사기범들에게 매우 매력적인 표적입니다," 세르티크 보안 연구 책임자 Wen Guanxing은 말했다.
연구원들은 대면 저녁 식사, 고가의 의복, 많은 현금 및 기타 부의 과시가 모두 Halliburton의 경계심을 풀게 하기 위한 전략이라고 추측했다. "고가치 신뢰 사기에서 흔히 쓰이는 신뢰 구축 수법입니다," Wen Guanxing은 말했다. "피해자가 공격자와 느슨한 환경에서 오래相处할수록, 이후 기술적 요구에 대해 의심하기 어려워집니다."
도난을 완성하려면 사기범은 Halliburton이 새로 생성한 Atomic Wallet 지갑의 암기 문구(seed phrase)를 확보해야 했다. 암기 문구를 알고 있는 자는 지갑 내 비트코인에 무제한 접근이 가능하다.
한 가지 가능성은 사기범이 호텔 와이파이를 해킹하거나 가짜 와이파이 네트워크를 설정해 Halliburton의 휴대폰 정보를 탈취했을 수 있다는 것이다. "이런 장비는 인터넷에서 살 수 있고, 편리하며, 짐 두세 개 정도면 운반할 수 있습니다," 사이버보안 회사 Coeus의 수석 연구원 Adrian Cheek이 말했다. 그러나 Halliburton은 휴대폰을 절대 손에서 놓지 않았으며, 공용 와이파이가 아닌 모바일 데이터를 사용해 Atomic Wallet 앱을 다운로드했다고 강조했다.
Wen Guanxing은 가장 타당한 설명은 Halliburton이 처음 앱을 다운로드할 때, 근처에 있던 공범이나 망원렌즈 카메라를 통해 그의 휴대폰 화면에 나타난 암기 문구를 기록했을 가능성이 크다고 말했다—当时他们正坐在 오쿠라 호텔의 소파에 있었다.
Wen Guanxing은 Halliburton이 22만 달러 상당의 비트코인을 Atomic Wallet 주소로 이체하기 전부터, 사기범이 '청소 스크립트(sweeping script)'를 설정했을 가능성이 있다고 말했다. 이는 지갑 잔액에 큰 변동이 생기면 즉시 자금을 이체하는 자동화 프로그램이다.
이러한 사건에서 피해자가 대면 접촉한 인물들(Even과 Maxim 등)은 거의 항상 최종 수혜자가 아니라, 지구 반대편에 위치한 사기 네트워크가 고용한 '용병'일 가능성이 높다.
"그들은 일반적으로 지하 포럼과 암호화 채팅 그룹을 통해 모집됩니다," Cheek은 말했다. "알맞은 장소를 찾으면 이런 지속적인 모집 글을 볼 수 있어요."
며칠 동안 Sazmining이 이번 재정적 타격을 버틸 수 있을지는 미지수였다. 도난당한 자금은 회사 6주 치 수익에 해당했다. "突발적인 현금 부족 사태를 해결하면서 회사를 운영하려고 노력했습니다," Halliburton은 말했다. 결국 회사는 공급업체 지불을 연기하고 미지급 대출 만기를 늘리는 방법으로 간신히 지급능력을 유지했다.
그 주, Sazmining 이사회 멤버 한 명이 네덜란드, 영국, 미국의 집행기관에 신고했다. 영국 반사기 특별팀과 미국 비서처 산하 사이버 사기 특별수사팀만이 신고를 확인했다. 전자는 즉각적인 조치를 취하지 않겠다고 밝혔고, 후자는 취재 요청에 응답하지 않았다.
암호화폐 관련 사기 사건 수는 놀라울 정도이며, 집행기관이 모든 도난 사건을 조사하는 것은 거의 불가능하다. "이러한 위협과 범죄 활동의 규모는 전례 없는 수준에 도달했습니다," 옥클은 말했다.
옥클은 암호화폐 사기 피해자가 자금을 회수할 수 있는 가장 큰 희망은 집행기관이 사기 조직 전체를 붕괴시키는 것이라고 말했다. 이 경우 회수된 자금은 일반적으로 신고한 피해자들에게 분배된다.
그때까지 Halliburton은 손실을 받아들일 수밖에 없다. "지금도 여전히 고통스럽습니다," 그는 말했다. "하지만 아직 치명적이진 않습니다."
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@WIRED
