논문 리뷰 - (3) 메모리 분석 기반의 암호화폐 트랜잭션 정보 추출 방안 연구

본 논문은 BoB 사업의 지원을 받아 수행된 연구이며 학부생 논문입니다.

 

메모리 분석 기반의 암호화폐 트랜잭션 정보 추출 방안 연구

 

익명성을 보장하는 암호화폐의 특성상 범죄 자금의 은닉 및 세탁에 자주 사용되며 특히 암호화폐를 직접 점유 및 소유할 수 있는 하드웨어 지갑의 사용률이 증가하고 있습니다. 이러한 하드웨어 지갑 사용 여부를 분석하고 추적하기 위한 포렌식 도구가 없기 때문에 암호화폐와 관련된 수사에 어려움이 있습니다. 따라서 본 논문은 하드웨어 지갑 사용의 추적 및 분석을 위해 디스크와 메모리에 기록된 암호화폐 거래 관련 아티팩트를 분석하고 이를 추출하는 포렌식 도구를 개발 및 제안합니다. 하드웨어 지갑의 아티팩트들은 암호화폐 추적 관련 수사에 활용될 수 있을 것입니다.

암호화폐 기술이 사람들의 관심을 받게 된 것은 익명성이 보장된다는 점이었지만 우리나라의 경우, '특정 금융거래정보의 보고 및 이용 등에 관한 법률'로 인해 실명인증 후 거래소를 통해야 암호화폐 구매가 가능합니다. 범죄자가 거래소에 실명인증 후 범죄에 사용된 암호화폐를  현금화할 경우, 수사기관이 거래소에 압수수색검증영장을 집행하여 추적할 수 있게 된 것입니다. 이와 같은 이유로 암호화폐 거래에서 보안성과 익명성을 제공하는 하드웨어 지갑 사용률이 증가하고 있습니다. PC에 남는 트랜잭션 관련 흔적은 크게 하드웨어 지갑 관련한 것과 암호화폐 거래와 관련된 아티팩트로 구분할 수 있습니다. 그 중 하드웨어 지갑과 관련한 아티팩트에는 지갑 주소, 니모닉 코드, PIN 코드, 지갑 연결 흔적 등이 해당되며, 암호화폐 거래 관련 아티팩트에는 암호화폐의 종류, 송수신 주소, TXID(Transaction ID) 등이 있습니다.

하드웨어 지갑은 자신이 소유한 암호화폐를 USB 형태의 지갑에 보관할 수 있습니다. 이런 하드웨어 지갑을 네트워크에 연결하기 위해 하드웨어 지갑 제조사는 사용자를 위한 하드웨어 지갑 전용 PC 어플리케이션을 제공하며, 사용자는 어플리케이션을 통해 거래소를 이용하지 않고 암호화폐 거래가 가능합니다.

암호화폐를 다른 암호화폐로 교환하는 Swap 기능을 사용할 경우, 송신자가 스왑을 담당하는 거래소에 암호화폐를 송신하고 거래소 내부에서 스왑이 이루어집니다. 따라서 암호화폐를 송수신한 TXID 외에 교환 과정에서 발생한 정보는 이용자의 PC에 남지 않기 때문에, 거래소의 협조를 통하지 않고는 암호화폐 추적이 어렵습니다. 마찬가지로 Chainalysis 사의 Reactor 등 암호화폐 추적 솔루션을 사용하기 위해서는 TXID 혹은 지갑주소를 사전에 알고 있어야 검색이 가능합니다.

따라서 본 논문에서는 하드웨어 지갑 사용 시 메모리 파일 상에 기록되는 하드웨어 지갑의 정보를 추출하여 암호화폐 추적 및 수사에 도움이 될 수 있도록 연구한 내용에 대해 서술합니다. 하드웨어 지갑을 사용할 경우, 메모리 파일에는 TXID, 지갑주소, 송수신 암호화폐의 종류, 암호화폐의 잔액, 추가적으로 Swap 기능을 이용할 경우, Swap ID 등의 정보가 기록되는데, 이러한 정보를 추출하여 암호화폐 거래 추적에 대한 효율적인 방안과 도구 개발을 제안합니다.

연구를 위해 Ledger Nano S 와 Trezor One 의 두 가지 하드웨어 지갑을 분석하였고, 추가적으로 소프트웨어 지갑인 Exodus를 분석해 유사한 점을 확인하였습니다. 트랜잭션을 발생시키기 위해 송수신한 암호화폐는 BTC, ETH, XRP로 선정하였으며 그 이유는 현금화할 경우 가장 높은 가치를 가지고 있어 범죄자금의 은닉에 많이 사용되며 전세계 거래량의 65%를 차지하기 때문입니다.

2장의 관련 연구에서는 본 논문과 관련된 연구를 설명하고, 3장에서는 본 논문에서 필요로 하는 하드웨어 지갑과 암호화폐의 배경지식에 관해 설명합니다. 4장은 하드웨어와 암호화폐 관련 데이터를 수집하여 분석하는 과정을 설명하고 5장에서는 분석 내용을 바탕으로 개발한 포렌식 도구를 소개합니다. 6장에서는 종합적인 결론을 맺습니다.

 

 

해당 논문에서는 암호화폐 분석 시 주목해야하는 데이터들에 대한 설명이 포함되어 있습니다. 암호화폐 분석을 처음하는 입장에서는 어떤 데이터를 분석을 해야 실질적인 가치가 있는지에 대한 이해에 도움이 되겠습니다.

또한 지갑 주소, 트랜잭션 ID 등에 대한 데이터를 쉽게 탐색할 수 있도록 정규 표현식을 작성하였기 때문에 추후 비슷한 연구나 개발을 할 일이 있으면 참고하면 좋을 것 같습니다.

트랜잭션을 직접 발생시키면서 Chainalysis 의 Reactor 도구를 사용하고 검증하는 내용도 포함되어 있으며, 연구 결과를 바탕으로 Volatility 프로그램의 CryptoScan 이라는 이름의 플러그인을 개발한 내용도 포함되어 있습니다.

향후 연구로는 니모닉 코드로 지갑 복구가 불가능했던 Trezor One의 히든 지갑에 관한 연구를 진행하고, 기존에 개발한 txt 파일 대상의 니모닉 코드 추출 스크립트는 HWP, Docx, PDF 등 다양한 문서 프로그램에서 니모닉 코드와 PIN 코드를 탐색할 수 있도록 업데이트 할 예정이라고 합니다. 또한 본 논문에서 분석한 하드웨어 지갑의 최신 기기들은 모바일 기기와 블루투스 연결 기능을 제공하므로 이후 모바일 포렌식을 통한 암호화폐 트랜잭션 분석으로 연구 분야를 확장할 것이라고 합니다.

메모리 데이터는 휘발성이기 때문에, 데이터가 기록된 후 경과 시간 별로 남아있는 잔여 데이터 여부에 대한 내용이 포함되었으면 더 좋았을 것 같다는 생각이 들었습니다.