위조 홍콩 헬스테크 기업, 16억 USDT 유출… 블록체인 추적을 통해 드러난 사기 전모
저자: BlockSec
번역 및 편집: TechFlow
TechFlow 심층 리드: 블록체인 보안 기업 BlockSec은 홍콩의 헬스테크 기업을 가장한 폰지 사기 플랫폼 VerilyHK에 대해 전면적인 체인상 자금 추적 분석을 수행하였다. 16개월 동안 이 플랫폼은 TRON 네트워크를 통해 약 16억 달러 상당의 USDT를 처리하였으며, 8세대 수취용 핫월렛, 79개의 중계 주소, 3세대 매칭 출금 채널로 구성된 산업급 자금 라우팅 인프라를 구축하여 최종적으로 단일 중앙화 거래소(Centralized Exchange, CEX)로 자금을 집중시켰다. 또한 이 자금 흐름은 미국 금융범죄단속국(FinCEN)의 제재 대상인 캄보디아 소재 Huione 그룹과도 연계되어 있다.
핵심 발견: 홍콩의 헬스테크 기업을 가장한 이 플랫폼은 16개월간 TRON 네트워크에서 약 16억 달러 규모의 USDT를 유통시켰다. 이는 내부 자금 순환 가능성까지 고려한 최대치 추정치이다. 체인상 분석을 통해 드러난 산업 수준의 자금 라우팅 인프라는 다음과 같다: 8세대 수취용 핫월렛, 79개의 중간 전이 주소, 초단위 전환을 지원하는 3세대 매칭 출금 채널, 그리고 수만 개의 의심 충전 주소가 공유하는 단일 거래소 출금 경로. 본고는 피해자의 충전부터 거래소 출금까지의 전체 체인상 토폴로지를 완전히 재구성하였다.
배경
VerilyHK는 외부에 합법적인 홍콩 헬스테크 투자 플랫폼임을 자처한다. 이 이름 자체가 인기몰이를 노린 것으로 의심된다. 하나는 Verily Life Sciences로, 알파벳(Alphabet) 산하 정밀 건강 관리 기업으로 AI 기반 의료 서비스 및 의료 기기 개발을 주 사업으로 한다. 다른 하나는 중국 A주 시장에 상장된 환경공학 기업(주식 코드: 300190)으로, 헬스테크나 암호화폐와는 전혀 무관하다. VerilyHK 웹사이트의 문구는 ‘AI 헬스’, ‘빅데이터 분석’, ‘의료 기기’ 등을 강조하며 실제 Verily의 공개 포지셔닝을 거의 그대로 모방하였다. 마케팅 슬로건 역시 지속적으로 변화해 왔는데, 초기에는 면역세포 치료, 휴대용 심전도 장치를 내세웠으나 이후 AI 헬스, 건강 신용 체계, 데이터 자산 토큰화 등으로 확장되었고, 심지어 홍콩 증권거래위원회(SFC)의 제4류(증권 자문) 및 제9류(자산 관리) 라이선스를 취득했다고 주장하기까지 하였다.
그림 설명: Wayback Machine에서 캡처한 verilyhk.com의 스냅샷으로, ‘회사 소개’ 페이지에 AI, 빅데이터, 의료 기기를 활용한 건강 관리 솔루션 제공을 주장하고 있음
2025년 4월, 허산구 정부는 이 프로젝트가 ‘명백한 다단계 판매 및 불법 자금 조달 특징’을 보이며 ‘해외 암호화폐 거래’에 의존한다고 명시한 위험 경고를 발표하였다. 같은 해 4월 말, 여러 반사기(반사기) 감시 플랫폼이 붕괴 경고를 발령하였다. 해당 플랫폼은 2026년 2월 운영을 종료하였다.
약 16억 달러의 체인상 거래량을 기준으로 볼 때, VerilyHK는 이미 규제 당국의 조치를 받은 타 암호화폐 폰지 사기보다 규모가 훨씬 크다. 예를 들어, 미국 증권거래위원회(SEC)가 기소한 Forsage(3억 달러), SEC가 소송을 제기한 NovaTech(6.5억 달러) 등이 그러하다. 그러나 지금까지 이 암호화폐 범죄 행위에 대한 공개된 체인상 분석은 존재하지 않았다.
본고는 위 언급된 공개 경고에 의존하지 않는다. 다음 내용은 모두 해당 플랫폼과 관련된 TRON 기반 USDT 안정화코인 자금 흐름에 대한 체인상 데이터 분석 결과를 바탕으로 하며, 이를 통해 내부 인프라의 실체를 단계별로 재구성하였다.
출발점
조사는 한 피해자가 제공한 두 개의 TRON 주소—충전 주소와 출금 주소—from 시작되었다. 이 두 주소 간 연결 고리를 추적함으로써 드러난 것은 단순한 일직선 경로가 아니라 다중 계층·다중 세대 구조의 복합 자금 라우팅 네트워크 전반이다.
수취 계층: 16개월간 8세대 핫월렛 순차 교체
VerilyHK는 고정된 수취 주소를 사용하지 않았다. 2024년 10월부터 2026년 2월까지 16개월 동안 최소 15개의 주소를 8개의 서로 다른 세대로 조직하여 엄격한 시간 순서에 따라 순차적으로 교체하였다.
이 주소들은 병렬로 운영되지 않는다. 오히려 계주(계주) 형태의 연쇄 구조를 이룬다: 각 세대의 종료 일자와 다음 세대의 시작 일자는 정확히 일치한다. 이러한 하루 단위의 정밀한 인계 방식은 총 8차례의 전환 과정에서 반복적으로 나타난다. 인계 시점 외에도 인접 세대 간 대부분의 충전 주소 네트워크가 공유되며, 중복률은 65%를 넘는다. 이는 동일한 실체에 의해 운영되되 단지 새 월렛으로 전환된 것임을 입증한다.
각 세대가 처리한 거래량은 시간이 지남에 따라 급격히 증가한다. 초기 세대는 월간 수천만 달러 수준이었으나, 6세대에 이르러선 수억 달러 규모로 확대되었다. 마지막 세대는 4개월도 채 안 되는 기간 동안 9억 달러 이상을 처리하였다. 모든 세대의 누적 거래량은 약 16억 달러이다.
다만 이 수치는 순수한 사용자 충전액이 아닌, 잠재적 내부 이체를 포함한 전체 그래프 집계값이므로 상한선 기준치로 간주해야 한다. 폰지 구조에서는 사용자에게 지급된 ‘수익’이 재투입될 가능성이 있어, 동일 자금이 수취 계층에서 여러 차례 집계될 수 있다. 후기 거래량 급증은 실제 성장과 더불어 점차 심화되는 내부 자금 순환을 동시에 반영하고 있을 가능성이 높다.
그림 설명: 수취 계층 타임라인으로, 8세대 핫월렛의 거래량이 300만 달러에서 9.06억 달러로 증가함을 보여줌
중간 계층: 79개 중계 주소가 기존 허브로 집중
수취 핫월렛을 떠난 자금은 출금 계층으로 직접 흐르지 않고, 79개의 중간 전이 주소를 거친다. 각 중계 주소는 입금 출처가 극소수이고, 출금 목적지는 다수이며, 순 보유 잔고는 거의 0에 가깝다. 유입 자금의 80% 이상이 소수의 식별된 출금 채널 허브로 집중된다.
그림 설명: 중간 계층 자금 흐름—수취 핫월렛에서 중계 주소를 거쳐 식별된 출금 허브로 집중됨
이 자금 대부분은 출금 계층으로 흘러가지만, 한 노드가 특히 두드러진다. 이 ‘세대 간 허브’는 75%의 중계 주소로부터 자금을 수신하며, 8개 수취 세대 중 6개에 걸쳐 약 2.4억 달러를 누적하였다. 그러나 그 하류 구조는 식별된 출금 채널과 명백히 다르다.
체인상 추적 결과, 이 허브는 Huione 그룹의 여러 월렛 주소와 직접적인 자금 연결을 보여준다. Huione은 캄보디아 소재 금융 그룹으로, 미국 FinCEN에 의해 미국 금융 시스템 진입 금지 대상으로 지정되었다. 입금 측면에서는 최소 5단계 중계 주소를 거쳐 Huione 그룹의 핫월렛 4개가 이 허브로 약 460만 달러를 송금하였다. 출금 측면에서는 이 허브가 Huione 그룹의 충전 주소 2곳에 각각 4200달러와 150만 달러를 직접 송금하였다.
이 세대 간 허브와 Huione 사이의 자금 흐름은 VerilyHK의 자금 라우팅 인프라가 Huione의 네트워크를 자금 세탁 통로로 활용했을 가능성을 시사한다. 이는 FinCEN의 판단과도 부합하는데, 즉 Huione은 ‘가상자산 투자 사기 자금 세탁의 핵심 노드’로 규정되어 있다.
그림 설명: 제재 대상 Huione 그룹의 핫월렛 및 충전 주소와 세대 간 허브 간의 자금 흐름
출금 계층: 매칭 채널에서 공유 거래소 출구까지
출금 측의 세대 구조는 수취 측과 동일하다. 총 3세대 출금 주소가 식별되었으며, 총 출금액은 약 11억 달러이다. 수취 계층과 마찬가지로, 세대 간 전환은 초 단위로 정밀하게 이루어진다: 체인상 타임스탬프에 따르면, 2세대 채널 종료와 3세대 채널 시작이 정확히 동일한 순간에 발생한다. 이러한 패턴은 다른 이유로 설명하기 어려우며, 동일 운영팀이 사전에 설정한 전환 계획임을 시사한다.
각 세대 내부 구조는 일관된 양식을 따른다: 전용 브리지 주소가 중간 계층 자금을 먼저 집결시킨 후, 병렬로 운영되는 한 쌍의 출금 채널—주 채널과 보조 채널—로 전달한다. 각 쌍의 채널은 가동 시점이 몇 분 차이 나고, 종료 시점은 몇 초 차이 나지만, 그 중 하나의 처리량은 항상 다른 쪽보다 현저히 크다. 이러한 ‘브리지 → 매칭 출금’ 구조는 3세대에 걸쳐 반복적으로 나타나며, 이는 일시적으로 생성된 월렛이 아니라 설계된 인프라임을 입증한다.
그림 설명: 출금 계층은 3세대 매칭 채널을 보여주며, 각 채널은 기본적으로 독립적인 하류 네트워크를 가지나 최종적으로는 공유 거래소 출구로 집중됨
3세대 매칭 채널을 더욱 자세히 살펴보면 이러한 분리 정도가 명확해진다. 한 채널의 처리량은 다른 채널의 약 2.6배이다. 양 채널의 상위 100개 대규모 하류 거래 상대방을 비교해 보면, 중복률은 0%이다. 동일한 상류 출처에서 공급되고 동시에 작동하지만, 완전히 독립적인 하류 분배 네트워크를 운영한다.
두 채널이 진정으로 공유하는 것은 최종 출구이다. 소액 하류 이체에서 양 채널은 동일한 패턴을 보인다: 자금이 수만 개의 일회성 주소(각 주소는 거의 단 한 번의 입금과 한 번의 출금만 기록)를 거쳐 결국 동일한 주요 중앙화 거래소(CEX)의 핫월렛으로 집중된다. 그러나 여기서도 두 그룹의 충전 주소 중개인은 거의 완전히 독립적이다—약 6만 개 주소 중 겹치는 주소는 단 9개뿐이며, 이는 두 개의 별개 파이프가 동일한 거래소로 흘러들어가는 모습과 같다. 체인상 데이터는 자금이 거래소의 처리 파이프라인에 진입했음을 확인하지만, 이러한 충전 뒤에 숨겨진 구체적인 사용자 계좌는 식별할 수 없다.
전체 도식: 4단계 펀넬 구조
모든 분석 결과를 종합하면, VerilyHK의 체인상 자금 라우팅 아키텍처는 명확한 4단계 펀넬 구조를 형성한다: 전단부는 극도로 분산되며, 중간부는 고도로 집중되고, 출금 계층은 다시 분산되며, 최종적으로 거래소 출구를 통해 종결된다.
그림 설명: VerilyHK의 4단계 펀넬 아키텍처—충전 계층, 수취 계층, 중간 계층, 브리지 계층, 이중 출금 채널, 거래소 출구
가장 두드러진 점은 막대한 거래량(누적 약 16억 달러의 체인상 자금 흐름)과 그 뒤에 숨겨진 인프라의 정교함이다: 일 단위로 정밀한 세대 교체, 기본적으로 독립적인 하류 네트워크를 갖춘 매칭 출금 채널, 수만 개의 일회성 주소가 공유 거래소 출구로 집중되는 구조 등이다.
거래소의 준법감시 팀에게는 본고에서 기록한 구조적 특성이 실무 적용 가능한 탐지 휴리스틱 지표가 된다. 특히 수만 개의 일회성 충전 주소가 동일한 핫월렛으로 집중되는 패턴은 주목할 만하다. 조사관 및 규제 기관에게는 이러한 계층화된 아키텍처가 불법 자금 추적 시 단일 거래를 넘어서 전체 네트워크 토폴로지를 재구성해야 함을 시사한다.
본고의 모든 체인상 분석은 MetaSleuth 체인상 분석 도구를 사용하여 수행되었으며, 이 도구는 BlockSec의 자금세탁방지(AML) 및 준법감시 솔루션의 일부이다. 분석은 최고 가치 경로(Value Path) 방법론을 따르며, 모든 결론은 근거 강도 및 적용 범위가 명시적으로 표기되어 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@BlockSecTeam
