[파커] ’N번방’ 성범죄가 열어 젖힌 디지털 뉴노멀 시대

[출처: 셔터스톡]

[Parker's Crypto Story] 통칭 ‘N번방’사건이 한국 사회의 핵심 문제로 연일 대두되고 있습니다. 그중 N번방에서 파생된 ‘박사방’의 조주빈은 검거 뒤 그동안의 행적이 낱낱이 공개되기도 했습니다. 3월 23일에는 경찰청이 N번방의 또 다른 파생방 ‘고담방’의 와치맨을 이미 작년말부터 구속한 상태라고 전하기도 했습니다. 사건의 핵심 3인방으로 알려진 인물 중 2명이 잡힌 셈입니다. 경찰은 현재 3인방 중 마지막 인물인 N번방의 창시자 갓갓을 잡는데 총력을 기울이고 있다고 합니다. 갓갓의 것으로 추정되는 IP주소도 특정한 상태라고 합니다.

그러나 해당 사건은 주동자 이외에도 많은 인물들이 연루돼 있습니다. 경찰이 지난 9월부터 관련 수사에 힘을 기울이면서 124명의 인원을 검거 했지만, 추정 인원이 수만 명에서 많게는 26만 명에 이른다는 보도가 잇따라 나오고 있는 상황입니다. IP를 특정했다 하더라도 직접 조사해보면 신원이 다르게 확인되는 경우도 있습니다. 향후 수사 확대 과정이 결코 쉬운 작업이 아님을 알 수 있는 대목입니다. 보다 효율적이고 유연한 수사 프로세스 설계가 필요할 것으로 보입니다.

수사 종료 이후의 보안 인프라 구축도 중요합니다. 이번 사건은 IP특정이나 기존 전통 정보 수단 등을 활용해 핵심 인물을 잡는데 성공하고 있는 모습이지만, 정말 치밀한 해커가 유사 범죄를 일으킨다면 추적이 매우 어려워지는 현실이 기다리고 있습니다. N번방 관계자들이 자금 세탁 용도로 활용한 ‘다크코인’관련 국제 범죄 사건을 짚어보면 아직까지도 범인을 검거하지 못하고 있는 사례들이 존재합니다. ‘새로운 창’의 등장에 걸맞은 ‘새로운 방패’를 제도적으로 만들어나가는 과정이 구축돼야 할 때입니다.

블록체인이라는 새로운 도구는 사용하기에 따라 날카로운 창이 될 수 있지만, 튼튼한 방패가 될 수도 있습니다. 현실적으로 창의 기능이 날카로워지고 있는 지금, 추후 범죄를 막기 위해서라도 방패 연구에 대한 새로운 공조 시스템을 고민해봐야 할 것 같습니다. 오늘 크립토 스토리에서는 N번방 사건 과정에서 일어난 새로운 기술적 문제와 해결 방안을 중점으로 향후 벌어질 디지털 범죄 양상에 대한 대응방법을 살펴보고자 합니다.

#텔레그램 비밀대화라는 창구

복수의 국내 언론이 끈질기게 추적한 결과 통칭 ‘N번방’에서 일어난 일련의 사건들은 텔레그램(Telegram)을 기반으로 이뤄진 것으로 확인됩니다. 텔레그램에는 ‘비밀대화’라는 기능이 존재합니다. 사건 연루자들은 이 비밀대화를 통해 증거 은폐를 시도했습니다. 텔레그램 비밀대화는 단말기간 암호화 방식을 추구해 중간 서버가 이를 해독할 수 없게끔 만들어져 있습니다. 대화 삭제 기능도 탑재돼 있어 직접적인 증거 인멸도 가능합니다. 심지어 찰나의 순간에 캡처를 하려고 해도 애플 iOS에선 캡처 즉시 “상대방이 화면을 캡처했다”는 메시지가 전달됩니다. 안드로이드에서는 아예 캡처가 불가능합니다.

그렇다면 텔레그램 비밀대화를 뚫을 방법은 있을까요. 국내 메신저 카카오톡의 사례를 보면 해결책이 아예 없는 것은 아닙니다. 카카오톡도 텔레그램 비밀대화와 유사한 기능을 지원하고 있어, 해당 문제가 발생했을 때 일방적으로 특정인의 대화 기록 등을 열람할 순 없습니다. 다만 서버가 국내에 있기 때문에 이를 활용한 공격이 가능합니다. 예컨대 A의 범죄 사실을 공략하기 위해 중간 서버 개입을 시도하는 것입니다. 이를 통해 A의 대화 상대인 것처럼 꾸며 A에게 원하는 답을 얻어낼 수 있습니다.

문제는 텔레그램의 서버가 국내에 있지 않다는 점입니다. 통제권이 벗어난 해외에 있습니다. 더군다나 텔레그램은 본사 소재지조차도 불분명합니다. 가장 좋은 해결책은 텔레그램이 한국 경찰 측의 협조 요청에 응하는 것이지만, 텔레그램은 ‘메신저 자유’의 원칙을 강조하기 때문에 수락할 가능성이 낮습니다. 물론 가입시 인증에 필요한 전화번호 기록이나 내부 폭로자를 통해 네트워크를 파고드는 방법이 있기는 합니다. 그러나 이 방법은 수사 속도 등에 차질을 불러 일으킬 가능성이 있고 내부 폭로자 등의 행운에 기대야 하는 한계가 존재합니다. 특히 N번방 사건은 관계자들을 모두 공범으로 만든 만큼, 내부 고발자가 나타날 확률이 낮다고 볼 수 있습니다. 

#새롭게 나타난 병기, 암호화폐

그런데 N번방 핵심 운영자들이 비밀 수익 추구를 위해 동원한 새로운 도구가 있었습니다. 바로 암호화폐입니다. 기존에는 대포 통장 등을 활용해 이와 같은 범죄 수익을 추구했지만, 사이버 상에서 일어난 범죄라는 특성과 법적·제도적·기술적으로 난해한 도구라는 특성을 살려 암호화폐라는 수단을 새롭게 사용한 것입니다. 현재까지 알려진 이들의 범죄수익 추구 방식은 ‘박사’ 조주빈의 암호화폐 입출금 경로를 통해 잘 드러납니다.

2019년 암호화폐 거래소 바이낸스 해킹 사건 당시 자금세탁 흐름

출처: 노더

조주빈은 자신이 운영하는 박사방에 입장할 참여자들에게 ‘다크코인’ 모네로를 위주로 암호화폐 입금을 요구한 것으로 확인됩니다. 방 레벨에 따라 한화로 최대 150만 원 상당의 코인을 받은 것으로 보입니다. 보통 암시장에서는 받은 모네로를 믹싱(Mixing)을 통해 세탁하는 절차가 이뤄집니다. 믹싱은 자금세탁 중개 업체나 P2P를 통해 기존의 코인을 다른 코인과 섞어 추적에 혼선을 주는 일체의 행위를 뜻합니다. 이때 일명 ‘지갑 쪼개기’작업도 동시에 들어갑니다. 조주빈 역시 이러한 작업을 통해 자금세탁을 시도한 정황들이 포착됩니다. 수익 규모도 이러한 과정 속에서 파악됐습니다. 한겨레에 따르면 조주빈에게서 ‘발견된’ 모네로 지갑에만 2억~3억원 안팎의 자금이 보관됐다고 합니다. 이후 코인데스크코리아의 후속 보도에 따르면 한때 이더리움 지갑에 최대 32억 원, 비트코인 지갑에 약 3700만 원 상당의 자금이 있었다고 합니다.

이렇게 믹싱 작업이 완료되고 나면 해당 코인을 유동성이 뛰어난 비트코인이나 현금 등으로 환전합니다. 조주빈의 경우 암호화폐 구매 대행업체 B사를 통해 받은 코인을 현금으로 환전한 것으로 파악되고 있습니다. 이후 B사는 수사 당국과 협조를 통해 조주빈 검거에 기여한 것으로 알려져 있습니다. B사에 따르면 조주빈 측은 모네로뿐만 아니라 비트코인·이더리움도 받았다고 합니다. 다만 조주빈의 현금 환전 과정 등에 대한 보다 구체적인 내용에 대해선 “경찰 측의 요청이 들어와 더 이상 관련 인터뷰는 할 수 없는 상황이다”는 답변이 돌아와 안타깝게도 더 이상 물을 수 없었습니다.

#비트코인은 자금세탁에 오히려 부적합하다

일반적으로 비트코인을 떠올리면 도박이나 망한 사람, 혹은 대박·불법 등의 이미지가 생각나나 봅니다. 비트코인을 검색하면 관련 키워드가 상단에 올라와 있는 것을 통해 확인할 수 있는 사실입니다. 기술적 가치보다는 2017년 불장 등의 영향으로 가격적 측면이 강렬하게 남았기 때문이겠죠. 그러다 보니 비트코인은 불법성이 짙은 자금세탁에 이용하기 좋은 수단으로 인식되는 경우가 많습니다.

하지만, 비트코인이나 이더리움 같은 투명한 분산 원장 기반의 코인은 오히려 기존 수단보다 자금 추적에 용이한 측면이 있습니다. 일반적인 암호화폐는 실명 기반 거래는 아니지만, 송·수신자의 고유 주소가 투명하게 공개돼 거래 기록을 쉽게 확인할 수 있습니다. 이러한 특징으로 인해 비트코인 자금세탁을 시도한 많은 관계자들이 체포된 사례가 많습니다. 특히 KYC(고객인증제도) 시스템이 등록된 곳에 거래 이력이 노출될 시 오히려 기존 은행계좌 추적보다 쉽게 수사가 끝날 수 있습니다. 국제 공조도 기존보다 최소화할 수 있습니다.

코인 믹싱을 통해 비트코인 등의 일반 암호화폐를 세탁해도 추적이 가능합니다.  거래 기록이 투명하게 나타나고 있는 이상, 믹싱을 해도 시간이 소요된다는 지점만 빼면 블랙리스트를 추려내는 방식으로 추적 대상을 찾아낼 수 있습니다.

#익명의, 익명에 의한, 익명을 위한 코인 모네로

암호화폐 자금세탁을 위한 믹싱 전문 업체는 이전에 비해 시장 크기가 축소된 측면이 있습니다. 코인에 대한 수요 자체가 몇 년 전에 비해 줄은 것도 있지만, 다크코인이라는 새로운 개념의 코인이 등장했기 때문입니다. 다크코인으로 유명세를 떨친 코인은 대시·지캐시·모네로 정도가 있습니다. 이중에서도 모네로는 익명의, 익명에 의한, 익명을 위한 코인이라고 봐도 과언이 아닐 정도로 익명성에 특화된 다크코인입니다.

먼저 모네로는 스텔스 주소(Stealth Address)라는 기능으로 일회용 주소를 생성할 수 있습니다. 블록체인 상에는 일회용 공개 주소가 기록되고 진짜 비밀 주소는 거래 당사자만 확인할 수 있는 시스템이죠. 제3자가 공개 주소를 클릭하면 에러 메시지가 뜨면서 거래 정보가 확인되지 않습니다. 다른 일반 암호화폐의 경우 블록체인에 기록된 주소를 클릭하면 거래 정보와 관련한 사항을 투명하게 열람할 수 있습니다.

여기에 모네로는 링서명(Ring Signatures) 방식을 활용해 송신인까지 감출 수 있습니다. 공개키만을 이용하는 일반적인 디지털서명과 달리 모네로는 여러 유저의 공개키를 사용합니다. 만약 A가 B에게 송금하는데 C와 D의 공개키와 자신의 공개키를 섞어 링서명을 했다면, 이 때 A·C·D 세 명이 각각 1/3 확률로 송금인이라는 것을 알 수 있을 뿐 송금자가 A라는 사실은 알 수 없습니다. 예시로 든 것은 본인 이외에 단 3명의 인원이 추가됐을 뿐이지만, 인원 수는 더 늘릴 수 있다는 점에서 자금세탁 확률이 더 커지게 됩니다. 뿐만 아니라 모네로는 링CT라는 별도 기술로 거래 금액을 숨기고 코브리(Kovri) 프로젝트를 통해 IP 주소 스텔스 기능까지 추구하는 상태입니다.

잘만 쓴다면 믹싱을 따로 하지 않아도 뛰어난 자금세탁이 가능하기 때문에 각국의 해커나 자금을 은밀히 움직이는 사람들이 모네로를 주로 사용하고 있는 추세입니다.

#미국 재무부를 애먹이고 유로폴을 백기 들게 만든 모네로

컴퓨터를 다루는데 능숙하고 암호화폐 관련 지식이 풍부한 사람이라면, 모네로와 같은 다크코인을 사용했을 때 완벽에 가까운 자금세탁을 이뤄낼 수 있습니다. 각국 규제기관이 이 문제로 골치를 썩고 있습니다. 지난 3월 2일 미국 재무부 해외자산통제국(OFAC)은 북한과 연계된 사이버 공격에 가담해 1억 달러 규모의 암호화폐를 탈취한 중국 국적자 2명을 제재한 사실을 발표했습니다.

OFAC에 따르면, 해당 자금세탁 추적은 2018년 4월경부터 이뤄졌는데요. 여기서 해커와 관련한 비트코인 주소를 블랙리스트에 추가하는 작업은 원활하게 진행됐지만, 모네로에 대한 해결 방안은 따로 밝히지 않는 모습을 보여줍니다. 그저 모네로가 다른 코인보다 익명성이 강하니 관련 채굴 활동 감시를 강화하겠다는 말만 합니다. 특정인이 모네로로 자금세탁을 한 것과 채굴 활동 사이에는 직접적인 관련이 없음에도 미국 재무부가 이런 방안을 내놨다는 것은 뾰족한 해법이 존재하지 않는다는 뜻입니다. 그나마 미숙한 이용자가 KYC 시스템이 확립된 거래소에서 모네로를 구입해 그대로 환전을 시도하면, 거래소에 남아있는 트랜잭션을 토대로 추적이 가능하지만 능숙한 해커가 이런 실수를 하는 경우는 거의 없죠.  

유럽 경찰 상호협력을 목적으로 운영되는 유로폴(유럽형사경찰기구)의 경우에는 “다크코인 모네로를 추적하거나 분석할 수 없다. 규제 당국은 익명성에 특화된 암호화폐를 큰 위협으로 간주하고 있다”며 2019년 12월에 아예 항복을 선언하기도 합니다.

혹시나 간과하고 있는 부분이 있을까 해서 복수의 국내 보안 전문 업체에 모네로 자금세탁을 추적할 수 있는 방안을 물었지만, 그때마다 “본사는 다크코인 추적은 하지 않고 있다”거나 “현재로선 모네로로 자금세탁을 철저히 했을 경우 찾을 수 있는 방법이 없다고 봐야한다”는 답변만 들을 수 있을 뿐이었습니다.

#그럼 조주빈은 어떻게 검거했나

이쯤 되면 조주빈을 비롯한 사건 연루자들을 어떻게 잡았는지 궁금해집니다. 이를 위해 서울지방경찰청에 문의했지만, 구체적인 이야기는 수사 관계상 들을 수 없었습니다. 수사에 민감한 사항을 제외한 선에서 추측만 해볼 수 있을 뿐입니다. 우선 다크코인으로 자금세탁을 철저하게 했다면 찾아낼 가능성이 거의 없다고 봐야하기 때문에 다른 암호화폐를 통해 추적에 성공했다는 시나리오를 생각해 볼 수 있습니다. 모네로뿐만 아니라 비트코인·이더리움도 입금됐다는 증언에서 이를 추측할 수 있습니다. 비트코인·이더리움의 경우 공식 경로를 한번이라도 거쳤다면 추적이 원활해지는 특징을 가지고 있습니다.

둘째로는 기존 방식과 충돌이 일어나는 지점에서 자금 경로 역추적이 시작됐을 수 있습니다. 대표적으로 각종 플랫폼에서 이용되는 기존 인증 수단에는 핸드폰이 있습니다. 실제로 조주빈 검거에 기여했던 구매대행업체 B사의 코인 구매 및 판매 신청에는 본인인증을 위한 핸드폰 번호 입력란이 있습니다. 이를 통해 수사가 진행됐을 가능성을 짐작할 수 있습니다.

마지막으로는 범죄 과정에서 내부 관계자의 폭로가 있었을 경우입니다. N번방 사건 특성상 참여자들을 모두 공범으로 만들었기 때문에 가능성은 낮은 일이지만, 죄질이 나쁜 사안인 만큼 불가능이라고도 할 수 없는 일입니다. 또한 직접적인 관계자가 아니더라도 거래 과정에서 관여한 주체가 있다면 간접적으로 폭로가 이뤄질 수도 있습니다. 구매대행업체 B사의 협조에서 해당 사실을 확인할 수 있습니다.

#숙련자가 유사 범죄를 일으킨다면?

이번 사건은 조주빈이 덜미를 잡히면서 해당 라인에 속한 인물들이 빠르게 추적되고 있는 모습입니다. 그러나 핵심 관계자들이 숙련된 기술을 가진 상태에서 유사 범죄를 일으켰다면 어땠을까요. 지금보다 추적이 훨씬 어려워질 수 있습니다. 내로라하는 규제 기관도 숙련된 모네로 자금세탁 사건에 어려움을 겪고 있는 실정입니다.

이를 위해 첫째로 규제 당국이 기관 중심의 국제 공조를 넘어 민간과 적극적인 협업을 이뤄나가는 모습이 필요해 보입니다. 미국 국세청(IRS) 팀장 재로드 쿠프먼(Jarod Koopman)은 암호화폐 자금세탁의 해결책으로 KYC 네트워크 강화를 꼽은 바 있습니다. 국제 자금세탁방지기구(FATF)도 이를 염두에 두고 최종 권고안에 ‘트래블 룰’ 준수를 요청했죠. 트래블 룰이란 암호화폐 거래 시 송·수신 기관 모두 관련 거래 정보를 수집하고 보유해야 한다는 규정을 의미합니다. 이와 같은 문제를 해결하기 위한 핵심 조치가 암호화폐 거래소를 비롯한 민간 플랫폼과의 공조입니다.

이번 N번방 사건에서도 KYC가 구축된 거래소를 중심으로 경찰이 수사 협조 공문을 내렸다고 합니다. 주요 거래소 중 현재 모네로가 상장돼 있는 빗썸 측도 “경찰의 요청에 적극 협조할 예정이다. 또한 빗썸에서 모네로가 거래되는 비율은 0.3% 정도에 불과하지만, 관련 거래내역이 확인되면 바로 경찰에 알릴 수 있도록 하겠다”고 밝혔습니다. 여기에 암호화폐 추적 및 보안을 업무로 삼는 민간 기업과의 협력도 중요한 해결책이 될 수 있을 것 같습니다. 이들 업체는 암호화폐에서만 나타나는 특정 패턴을 파악하고 있어 규제 당국의 수사에 여러모로 도움을 줄 수 있습니다.

사건의 기밀 사항을 제외한 수사 정보를 민간에 공유하는 것 역시 앞으로의 시대에서는 이점으로 작용할 수 있습니다. 이미 민간 차원에서 모네로의 허점을 분석하는 시도들이 계속되고 있습니다. 2019년에는 전제가 조금 빗나가서 허점을 공략하는데 실패하긴 했지만, 유의미한 모네로 취약점 논문이 공개되기도 했습니다. 이와 같은 민간 차원의 노력에 수사 당국이 관련 정보를 공개한다면 성과에 더 가속도가 붙을 수 있습니다.

둘째로는 모네로의 추적 자체보다는 인프라 약화에 초점을 맞추는 것입니다. 민간 거래소와의 공조도 사실 이 부분에 해당됩니다. KYC 네트워크가 촘촘해지고 모네로가 시장에 설 수 있는 공간이 좁아지면 모네로의 가치는 하락합니다. 미국 재무부가 모네로 채굴 감시를 강화하겠다고 이야기한 것도 근본 해결책은 아니지만, 인프라 약화에는 충분히 기여할 수 있습니다. 작년에 프랑스 경찰이 85만 대 이상의 모네로 채굴 봇넷을 폐쇄한 이유도 같은 맥락입니다. 당시 프랑스 경찰은 해커의 실체를 잡지는 못했습니다. 대신 그가 쓰던 대량의 챗봇을 봉쇄하면서 세력을 약화시키는데 집중했습니다. 이렇게 하면 당사자의 활동반경을 좁히는 것이 가능해집니다.

마지막으로 아직은 해당 사태가 일반화되긴 어렵다는 부분이 있습니다. 최근 인터폴(국제형사경찰기구)과 다크웹 상 암호화폐 추적 관련 협업을 맺은 한국 데이터 분석 전문 스타트업 에스투더블유랩(S2WLab) 측에 따르면 “다년간 축적된 내부 데이터를 바탕으로 다크웹 상의 암호화폐 자금 흐름을 확인해보면, 비트코인이 90% 이상의 비율로 사용되고 있음을 볼 수 있다. 환금성 등의 문제로 결국엔 다크웹에서도 대부분 비트코인 거래가 이뤄진다”고 합니다. 일반인이 이 모든 제약을 딛고 공식 채널을 닫은 상태를 유지하는 일은 사실상 어려운 셈입니다.   

#N번방 사건이 열어 젖힌 디지털 뉴노멀 문제 의식

통칭 N번방 사건은 뉴노멀이라고 해도 과언이 아닐 정도로 한국 사회에 그간 보지 못했던 새로운 파장을 일으키는 중입니다. 이번 사건은 범죄 배경부터 전개 양상까지 모두 디지털 공간을 무대로 벌어졌습니다. 수사 실마리에 민간이 다양한 방식으로 기여했다는 점도 눈에 뜁니다. N번방 주제의 한 갈래로 평가되는 ‘지인 능욕방’에서는 피해자인 박씨가 인스타그램의 특성을 활용해 범죄자를 직접 색출하는데 성공했습니다. 비슷한 시스템으로 운영되는 ‘교사방’의 운영자 래빗도 국민일보 기자에 의해 온라인 상에서 정체가 탄로난 바 있습니다.

수익 추구 방식도 법정화폐가 아닌 암호화폐 위주로 이뤄졌다는 점이 새롭습니다. 2015년 소라넷 폐쇄 사건의 경우만 하더라도 대포통장 운영을 중심으로 법정화폐를 거둬들이는 방식이 핵심이었다는 것을 생각하면, 5년도 안되는 시간 안에 큰 변화가 일어난 셈입니다. 이번 사건에서는 대포 통장 대신 계정 분산이나 암호화폐 자금세탁 같은 단어가 그 자리를 채웠습니다.

해결을 촉구하는 목소리 역시 모두 온라인 상에서 일어나고 있습니다. 물론 코로나19의 여파를 생각해야하는 부분도 있지만, 젊은 세대의 오프라인 시위 참여율 저하 현상(좌우 막론) 등의 문제는 이미 오래전부터 진행돼 왔습니다. 꼭 오프라인이 아니더라도 온라인 상에서 효율적으로 처리할 수 있는 문제가 있다면, 온라인이 선호되는 경우가 많아지고 있는 요즘입니다. N번방 사건에서는 그 현상이 더 두드러지게 나타나고 있습니다.

가장 중요한 점은 이번 사건이 디지털 시대에 대한 문제의식을 열어 젖혔다는 것입니다. 민간의 관심은 물론 정부 차원에서도 디지털 범죄 전반에 대한 제도를 재검토하고 있는 상황이죠. 일각에서는 이러한 유형의 사이버 성범죄자를 김영삼 전대통령의 금융실명제에 빗대며 신상공개를 강력히 촉구하고 있기도 합니다. 금융실명제도 자유와 개인정보 침해라는 측면에서 당시엔 비판을 받았으나 돌아보니 꼭 시행돼야 했던 정책인 것처럼, 이번 신상공개도 마찬가지라는 이야기입니다. GDPR로 대표되는 개인정보 보호와 신원 인증 문제도 다가오는 디지털 뉴노멀 시대의 핵심 이슈가 될 것으로 보입니다.

또한 이번엔 디지털 뉴노멀 시대의 부정적 현상에 대한 문제의식이 강조됐지만, 앞으로는 긍정적 의미를 탐색하는 작업도 중요하다고 생각됩니다. 산업혁명 시기 기계가 인간이 설 자리를 없앤다는 인식이 있었지만, 그 이상의 긍정적 효과로 눈부신 발전을 이뤄낼 수 있었습니다. 마찬가지로 디지털 기술은 앞으로 우리가 쓰기에 따라 충분히 ‘창’과 동시에 ‘방패’가 될 수 있는 도구입니다. 한동안 논란이 됐던 딥웹의 경우도 같은 특성을 활용하는데 범죄 도구로 사용되는가 하면, 표현의 자유나 보안 유지의 용도로 쓰일 때가 있습니다. 그간 나타나지 않았던 현상에 대한 공론장을 형성하고 새로운 흐름을 균형 있게 인식하는 자세가 무엇보다 중요한 때입니다.

박상혁 기자 park.sanghyuk@joongang.co.kr