비트코인 지갑 주소로 거래를 분석하고 불법 자금세탁과 사이버범죄자를 추적할 수 있는 암호화폐(가상화폐) 거래 분석·포렌식 솔루션이 국내 출시됐다.

비트코인을 마약 거래나 무기 구매, 또 랜섬웨어와 같은 사이버범죄 관련 거래에 악용하는 행위나 입출금 경로 등을 파악해 단속하고자 하는 사법기관과 법규제를 준수하고 신뢰성을 높이기 위한 암호화폐 거래소 등을 위한 솔루션이다.

체인널리시스(Chainalysis)는 2014년 암호화폐와 블록체인 전문가들이 설립한 기업이다. 미국 뉴욕에 본사, 덴마크 코펜하겐에 사무소를 두고 있다. 마이클 그로내어(Michael Gronager) 최고경영자(CEO)는 1조달러 넘는 비트코인 거래소(Kraken.com) 공동 설립자이자 양자물리학자이고, 얀 뮬러(Jan Møller) 최고기술책임자(CTO)는 안드로이드 가상화폐 지갑을 처음 개발한 컴퓨터 공학자다. 조나단 레빈(Jonathan Levin) 최고위험관리책임자(CRO)는 암호화폐 경제학자다.

이 회사는 지난 2011년 일본 대규모 암호화폐 거래소였던 마운트 곡스(MT Gox)가 사이버공격을 당해 파산에 이르게 된 사건을 추적, 조사하게 된 것을 계기로 설립됐다.

체인널리시스의 솔루션인 ‘체인널리시스 리액터(Chainalysis REACTOR)’는 유럽경찰조직인 유로폴(Europol)을 비롯해 국제 법 집행기관과 제휴해 불법 자금세탁과 사이버범죄자를 추적, 파악하고 유죄 판결을 지원하는 용도로도 전세계적으로 사용되고 있다.

현재 국내를 포함해 전세계 50여개 대규모 암호화폐 거래소와 수사기관, 사법기관, 은행 등이 고객사다.

국내에서 ‘체인널리시스 리액터’의 공급과 기술지원, 공인 교육기관 역할을 수행할 예정인 인섹시큐리티(대표 김종광)가 21일 연 기자간담회에 참석한 조나단 레빈 CRO는 “암호화폐 거래는 지속적으로 늘어나고 있다. 비트코인 거래 중 다크넷 거래규모는 2012년 30%에서 1%로 줄었음에도 전체 다크넷 거래규모는 점점 증가하고 있다”라면서 “정부와 민간 분야에서 불법 거래와 범죄 활동을 막고 거래 투명성을 확보하기 위해서는 체인널리시스 솔루션을 통한 분석이 필요하다”고 강조했다.

‘체인널리시스 리액터’는 비트코인 지갑 주소를 기반으로 한 입출금 거래(트랜잭션) 분석 솔루션이다. 지갑 주소를 넣으면 자동으로 해당 지갑의 모든 거래 로그를 손쉽게 분석할 수 있다. 리액터는 대화형 조사 도구로 조사 결과에 주석을 달고 메모를 남길 수 있어, 같은 조직의 다른 사람들과 데이터를 공유해 동시 조사가 가능하다.

비트코인 지갑주소를 통해 손쉽게 거래 분석이 가능하다. 각종 범죄에 악용된 지갑 주소를 검색해 수사에 활용할 수 있다. 모든 거래연관성은 그래프를 기반으로 분석하고 시각화된 데이터를 통해 한 눈에 경로를 파악할 수 있다. 전체 거래 통계 분석과 상세분석 결과도 제공해 어떠한 비트코인 주소에서 송수신이 이뤄졌고, 비트코인 거래량이 얼마인지도 분석할 수 있다. 또 비트코인 지갑에서 사용되는 소프트웨어를 분석해 IP 주소를 추출하고 이를 통해 비트코인 거래 발생시 나라별 이동 경로도 알 수 있다.

울리세 델오토(Ulisse Dell’Orto) 체인널리시스 비즈니스 개발 총괄은 먼저 “비트코인은 블록체인 기술을 기반으로 한 애플리케이션으로, 인터넷을 통해 누구나 사용할 수 있고 분산형구조로 사용자 간 정보를 모두 공유한다. 블록체인은 모든 거래 이력을 갖고 있지만 현실세계의 엔티티(Entity)와 연결돼 있지 않아 실제 가상화폐로 무엇을 하고 있는지 알 수 없다”고 전제했다. 이어 그는 “체인널리시스는 비트코인 거래 이력을 이용해 클러스터링하는 고유의 방식으로 암호화폐 거래소나 은행 계좌와 같은 실제 엔티티를 추적해나갈 수 있다. 이 과정에서 자동으로 데이터를 수집해 가상세계와 현실세계를 연결해주는 기술”이라고 설명했다.

체인널리시스는 가상 환경과 실제 환경을 연결하기 위해 애플리케이션프로그래밍인터페이스(API)를 이용해 암호화폐 거래소와 연동해 정보를 공유하며, 웹 스크랩과 오픈소스 인텔리전스(OSINT)를 이용한 정보도 수집한다. 또 전문 분석가팀에 의해 다크넷 마켓플레이스와의 거래를 지속적으로 조사하고 파악하는 방법을 이용하고 있다. 이를 기반으로 체인널리시스는 고유의 방대한 데이터셋(DB)를 구축하고 있다.

델오토 총괄은 “정부기관, 암호화폐 거래소, 은행 등과 연동해 정보를 공유 협력하고 이들에게 체인널리시스가 조사·추적도구를 제공한다”라면서 “체인널리시스는 이제 컴플라이언스 지원까지 제공하고 있다”고 덧붙였다.

‘체인널리시스 리액터’를 사용하는 암호화폐 거래소는 실시간 거래를 모니터링하면서 불법 거래 여부를 파악할 수 있도록 지원한다. 자동으로 컴플라이언스를 생성하고 사용자 계정마다 위험도를 점수화해 등급을 매기는 방식을 이용한다.

사법기관이나 수사기관에서는 랜섬웨어 감염된 사용자 중에서 사이버범죄자에게 대가를 지불한 피해자를 파악할 수 있고 그 돈이 어느 거래소를 통해 보냈는지도 추적할 수 있다.

실제로 ‘체인널리시스 리액터’는 ‘워너크라이(WannaCry)’와 ‘페트야(Petya)’ 랜섬노트 내 포함된 지갑 주소를 대상으로 분석을 수행해 알려진 랜섬웨어 주소 같은 경우 카테고리를 자동으로 랜섬웨어로 분류했다. 이후 랜섬웨어 감염 사용자가 보낸 비트코인 트랜잭션 분석이 가능했고, 이를 소셜 네트워크 분석을 통해 랜섬웨어 악용 여부를 최종 확인했다.

리액터는 금융사에서 블록체인 사업을 진행할 때 미리 위험을 평가할 수 있도록 여러 카테고리로 블록체인 행위를 세분화한 활동 모니터링 보고서를 제공한다. 아울러 비트코인을 통한 자금 이동 경로와 목적지를 시각화할 수 있는 전문 도구와 새롭게 등장하는 사이버위협 요소를 발견하고 조사할 수 있는 전문 정보를 지원한다.

한편, 체인널리시스 솔루션은 현재 비트코인과 비트코인 캐시 거래만 분석할 수 있다. 올 9월까지는 대시(DASH), 라이트코인(Litecoin), 넴(NEM) 모네로(monero) 등 10가지 암호화폐를 지원할 계획이며, 올해 말까지는 30개 이상 대부분의 암호화폐를 지원하는 것이 목표다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network