논문 리뷰 - (8) 암호화폐 거래 추적 방해 행위에 대한 디지털포렌식 분석 기법 연구 - Windows 환경의 암호화폐 서비스 로컬 아티팩트 분석을 중심으로

제가 작성한 석사 학위 논문의 내용 중 일부를 다뤄보겠습니다.

keyword : 미기재

 

암호화폐 거래 추적 방해 행위에 대한 디지털포렌식 분석 기법 연구

서론

(주제 대상인 암호화폐 현황)
가장 널리 알려진 암호화폐인 비트코인이 2008년에 등장한 이후 암호화폐는 그 종류와 서비스가 다양해지고 점차 발전해 현재까지도 많은 사용자들에 의해 투자의 수단으로 이용되고 있으며, 동시에 신기술을 위한 연구 대상으로도 활용되고 있습니다. 그럼에도 불구하고 비트코인의 가격이 크게 하락하고 암호화폐의 겨울이 찾아오면서 암호화폐의 실질적 가치에 대한 의구심을 불러일으키는 여론이 형성되기도 했습니다. 하지만 일부 국가에서는 비트코인을 공식화폐로 차용했으며, 암호화폐를 결제 수단으로 취급하는 곳이 많아지고 있습니다. 최근에는 SEC(The U.S.Securities and Exchange Commission, 美증권거래위원회)에서 비트코인 ETF를 정식으로 승인한 사실도 있기 때문에 암호화폐에 대한 사회적 관심은 앞으로도 지속될 것으로 볼 수 있고, 이와 함께 발생할 수 있는 암호화폐와 관련된 여러가지 사회적 문제도 해결해나가야 할 과제입니다.

(문제 제시)
암호화폐로 거래를 했을 때 거래 정보가 기록되는 트랜잭션 내역을 보면 사용자를 식별할 수 있는 개인 정보가 없기 때문에 익명의 성질을 갖고 있다고 알려져 있습니다.(KYC 도입 이후로는 실질적으로 약한 익명성) 이 같은 특징과 더불어 기존의 자금세탁 방식에 비해 자금을 전송하는데 있어 국경의 제한 및 물리적인 부피와 전송 속도에 대한 제약이 적기 때문에 범죄자들의 자금세탁 수단으로 사용되고 있습니다. 최근 5년간 암호화폐를 통한 자금 세탁 평균 금액은 약 186 억 달러에 해당하는 것으로 나타났습니다. 특히 국제적인 제재를 받고 있는 북한은 주요 자금 수급처로 해킹을 통해 획득한 암호화폐를 활용하고 있는데 그 규모 또한 상당하며, 자금 탈취를 위한 공격 횟수가 지난 몇 년 동안 증가하고 있는 추세입니다.

(지금까지 진행된 문제 해결 노력 언급)
국경을 초월하는 범죄 문제로 인해 전 세계적으로 암호화폐에 대한 규제를 필요로 하게 되었고 그 결과 AML(Anti Money Laundering, 자금세탁방지) 정책에 의거해 VASP(Virtual Asset Service Provider, 가상자산서비스사업자) 즉, 암호화폐를 현금화할 수 있는 서비스를 운영하는 사업자들로 하여금 고객의 정보를 확인할 수 있는 절차 KYC(Know Your Customer, 고객확인제도)를 준수하도록 하는 의무를 부과했습니다. 국제적으로는 2019년 6월 21, FATF(The Financial Action Task Force, 자금세탁방지국제기구)에서 Recommendation 16을 통해 발표했고, 국내에서는 2021년 3월 25일, 특정 금융거래정보의 보고 및 이용 등에 관한 법률 개정안을 시행하면서 고객확인의무, 의심거래보고의무, 가상자산 이전 시 정보제공의무를 부과했습니다.

(문제 해결 노력의 결과)
KYC 절차를 준수하는 거래소가 늘어나면서 수사기관에서 암호화폐를 추적하는 것이 용이해졌습니다. 범죄자금으로 식별된 암호화폐가 현금화를 위해 가상자산서비스가 소유한 주소로 전송되면, 수사기관은 해당 서비스의 KYC 정보를 통해 신원을 확보할 수 있는 것입니다. 따라서 사전에 식별하고 있는 가상자산서비스의 암호화폐 주소 개수와 범죄 관련 정보가 많을수록 수사에 큰 영향을 미치기 때문에 이러한 정보를 전문적으로 연구하고 제공하는 서비스가 블록체인 산업 중 하나로 발전하기도 했습니다.

(새로운 문제 언급)
암호화폐가 완전한 익명성을 가진다는 것은 KYC 절차의 도입으로 인해 거리가 멀어졌다고 볼 수 있습니다. ‘Satoshi Nakamoto’가 주고받은 것으로 알려진 이메일 기록에 따르면 그 또한 비트코인의 공개 이전부터 이러한 점을 염두에 두고 있었음을 알 수 있습니다. 범죄자들은 단순히 암호화폐의 익명성에 의존하는 방법으로는 자금세탁이 어려워지자 설계상 트랜잭션 추적이 불가능하다고 알려진 프라이버시 코인을 사용하기도 했습니다. 하지만 프라이버시 코인 또한 규제로 인해 거래소에서 취급하지 않게 되면서, 범죄자들은 가상자산서비스의 주소로 이어지는 트랜잭션 과정을 분석하기 어렵도록 하는 방식을 많이 사용하고 있습니다.

(해결해야 할 과제 제시)
암호화폐 수사에는 주로 블록체인 네트워크 상의 데이터를 분석하는 온-체인(On-Chain) 분석이 많은 비중을 차지하지만, 시스템에 저장되어 있는 데이터에 대한 디지털포렌식 분석도 중요합니다. 암호화폐는 니모닉 시드만 있으면 언제든지 지갑 데이터를 불러올 수 있어 은닉이 용이합니다. 범죄자들은 이러한 사실에 대한 기대로 정보를 제공하지 않는 등 비협조적인 자세를 취할 수가 있는데, 이 때 필요한 것이 시스템 디지털포렌식을 통한 암호화폐 전송 행위 등에 대한 사실 식별입니다.

(과제 해결을 위한 본 연구 내용 언급)
본 논문에서는 트랜잭션 분석을 어렵게 만드는 3가지 유형의 서비스를 이용했을 때 생성되는 아티팩트를 분석해 사용자가 생성한 트랜잭션 정보와 의도한 목적지 주소를 획득하는 것에 대한 연구를 진행했습니다. 첫 번째는 물리적인 장치에 데이터를 암호화하여 저장해 사용자가 설정한 암호 없이는 내용을 확인하기가 어려운 하드웨어 지갑으로, 하드웨어 지갑과 연동되는 지갑 프로그램 서비스를 대상으로 연구를 진행했습니다. 두 번째는 트랜잭션의 형태를 난독화해 입력 주소와 출력 주소의 연결을 어렵게 만드는 믹싱 서비스입니다. 세 번째는 블록체인 간의 차이로 인해 트랜잭션의 연속성이 단절되는 크로스 체인 브릿지 서비스입니다. 

---

관련 연구

기존 연구와 관련된 내용은 생략합니다. 논문을 참고해주시기 바랍니다.

• 암호화폐 서비스 아티팩트 분석 연구
• 믹싱 서비스 아티팩트 분석 연구
• 크로스 체인 브릿지 서비스 아티팩트 분석 연구

---

배경 지식

하드웨어 지갑

하드웨어 지갑에는 니모닉 시드를 생성하는 기능이 내장되어 있으며, 생성되는 모든 데이터는 암호화되어 장치에 저장됩니다. 대부분의 하드웨어 지갑은 지갑 생성 첫 단계에서 니모닉 시드를 화면에 출력하고, 그 이후로는 사용자가 다시 조회할 수 없도록 합니다. 일부 지갑은 개인 키도 조회할 수 없도록 설정되어 있습니다.

사용자가 암호화된 데이터에 접근하기 위해서는 지갑을 생성할 때 설정한 PIN 번호를 입력해 할 수 있으며, 장치에 따라 패스워드 입력, 지문 인식 등의 인증 방법도 사용되고 있습니다. 또한 대부분의 하드웨어 지갑은 무차별 대입 공격을 방지하기 위해 일정 횟수 이상 인증에 실패하면 기기에 저장된 데이터를 초기화하도록 설정되어 있습니다.

하드웨어 지갑은 인터넷과 단절되어 있기 때문에 그 자체만으로는 트랜잭션을 생성할 수 없으며, 트랜잭션에 서명하기 위해서는 별도의 방법을 필요로 합니다. 가장 일반적인 트랜잭션 생성 방법은 다음과 같습니다.

1. 케이블을 통해 하드웨어 지갑과 컴퓨터를 연결한다.
2. 하드웨어 지갑 연동을 지원하는 프로그램에서 트랜잭션 서명을 요청한다.
3. 하드웨어 지갑에서 데이터 접근을 위한 사용자 인증을 수행한다.
4. 트랜잭션에 서명 후, 서명된 데이터가 프로그램으로 전송되고 트랜잭션을 생성한다.

최근에 출시된 일부 제품에서는 에어 갭(Air Gap) 기술을 적용해 케이블을 사용하지 않고 트랜잭션에 서명하는 방법이 사용되고 있으며 자세한 내용은 논문을 참고해주시기 바랍니다.

이와 같이 트랜잭션 서명에 필요한 과정은 모두 하드웨어 지갑 내부에서 암호화되어 처리되기 때문에 지갑에 접근하지 못하면 주요 정보인 개인 키 및 니모닉 시드 값을 획득하기 어려운 것이 현실입니다. 따라서 하드웨어 지갑과 연동되는 프로그램이 생성하는 아티팩트를 분석해 암호화폐 주소 또는 트랜잭션 정보를 획득할 필요가 있습니다.

믹싱

비트코인 트랜잭션에는 가명의 주소가 포함되며, 사용자의 거래가 쉽게 연결될 수 있어 진정한 익명성을 제공하지 않습니다. 트랜잭션 중 하나라도 사용자의 신원과 연결이 된다면 모든 거래가 노출될 수 있기 때문입니다. 이로 인해 사용자의 암호화폐를 무작위의 다른 사용자 암호화폐와 교환해 소유권을 난독화하는 믹싱 서비스가 등장하게 되었습니다. 개인정보를 보호하고자 하는 비트코인 사용자는 믹싱 서비스를 이용해 트랜잭션을 난독화할 수 있습니다. 믹싱 서비스는 크게 중앙화 방식과 탈중앙화 방식으로 구분할 수 있습니다.

중앙화 믹싱 서비스는 일반적으로 다음과 같이 동작합니다.

1. 사용자가 믹싱 서비스를 지원하는 웹 사이트에 방문한다.
2. 원하는 믹싱 금액, 전송받을 주소, 지연 시간 등의 옵션을 설정한다.
3. 화면에 출력되는 믹싱 서비스의 수탁 주소에 암호화폐를 전송한다.
4. 믹싱 서비스는 입금을 확인하고 지연 시간에 맞춰 다른 사용자의 암호화폐를 혼합하여 트랜잭션을 난독화한다.

중앙화 믹싱 서비스는 수수료로 1~3%를 부과합니다. 일부 믹싱 서비스는 수수료를 더 지불할 경우 난독화를 고도화하는 옵션을 제공하기도 합니다. 중앙화 믹싱 서비스는 이용하기 간편하다는 장점이 있지만 믹싱 서비스 시스템에 사용자가 요청한 정보가 남을 수 있으며, 수사기관의 압박으로부터 자유롭지 못하기 때문에 개인정보 보호 측면에서 오히려 위험하다는 평가를 받기도 합니다.

탈중앙화 믹싱 서비스는 일반적으로 다음과 같이 동작합니다.

1. 사용자가 믹싱 서비스를 지원하는 클라이언트를 실행한다.
2. 원하는 믹싱 금액, 전송받을 주소, 지연 시간 등의 옵션을 설정한다.
3. 믹싱 서비스는 자금을 혼합할 다른 사용자들을 기다리기 위해 Peer to Peer 풀에서 대기한다.
4. 적정 사용자가 모이면 참여자의 암호화폐를 혼합하여 트랜잭션을 난독화한다.

탈중앙화 믹싱 서비스는 P2P 환경에서 진행되는 것을 제외하면 옵션 설정 측면에서 중앙화 믹싱 서비스와 큰 차이는 없습니다. 믹싱 개념이 등장하고 오랜 시간이 지났지만, 아직까지도 암호화폐 범죄자들의 자금 세탁 방식으로 유용하게 사용되고 있습니다. 2023년 악성 행위와 관련된 주소에서 믹싱 서비스로 전송된 자금은 2022년 약 10억 달러에서 2023년 약 5억 달러로 감소했으나 여전히 큰 수치라고 볼 수 있습니다.

크로스 체인 브릿지

비트코인 출시 이후 수많은 유형의 블록체인이 생겨나고 있으며, Layer1 블록체인의 확장성 한계를 극복하고 블록체인 네트워크의 부담을 줄이기 위해 Layer2가 등장했습니다. Layer2에서 동작하는 D-App(Decentralized Application, 분산 애플리케이션)이 많아지면서 다양한 블록체인을 효율적으로 관리하기 위한 멀티체인 기술이 발전하게 되었습니다. 하지만 기본적으로 서로 다른 블록체인 간에는 상호작용이 불가능하다는 한계점이 있었기 때문에, 멀티 체인 생태계의 잠재력을 최대한 발휘하기 위해 블록체인 상호 운용성이 필요하게 되었습니다.

블록체인 상호 운용성을 위해 등장한 기술 중 하나인 크로스 체인 브릿지는 하나의 블록체인에서 다른 블록체인으로 자산을 이동할 수 있도록 지원하는 분산 애플리케이션의 유형 중 하나입니다. 크로스 체인 브릿지의 등장으로 서로 다른 블록체인의 애플리케이션이 소통할 수 있게 됨으로써, 블록체인 개별의 장점을 극대화할 수 있게 되었습니다.

과거에는 암호화폐 자금 세탁을 위해 믹서가 많이 사용되었지만 크로스 체인 브릿지를 이용한 자금 세탁 비중이 증가하고 있으며, 2023년 3월과 7월 사이에는 믹서와 크로스 체인 브릿지의 자금 세탁 비율에서 크로스 체인 브릿지가 90% 이상을 차지하기도 했습니다. 또한 크로스 체인 브릿지를 이용한 자금 세탁 총 가치는 2022년에 약 3억 1천만 달러였지만 2023년에는 약 7억 4천만 달러에 해당했습니다. 가장 보편적인 크로스 체인 브릿지 유형은 다음과 같이 스마트 컨트랙트를 통해 토큰을 잠그거나 새로 발행하거나 소각하는 방법을 사용합니다.

1. Lock and Mint : 출발지 체인의 스마트 컨트랙트를 통해 소스 토큰을 잠그고, 목적지 체인에서 출발지 체인의 토큰과 거의 1:1비율에 해당하는 가치를 가지는 Wrapped Token을 발행한다.
2. Burn and Mint : 출발지 체인의 토큰을 소각하고, 소각한 가치와 동일한 가치의 목적 토큰이 목적지 체인에서 발행된다.
3. Lock and unlock : 출발지 체인 유동성 풀에서 소스 토큰을 잠그고 목적지 체인의 유동성 풀에서 목적 토큰을 잠금 해제한다.

사용자가 크로스 체인 브릿지를 이용하기 위해서는 출발지 체인의 브릿지 수탁 주소로 전환하려는 자금을 전송하고, 목적지 체인의 브릿지 주소로부터 전환된 자금을 전송받습니다. 여기서 출발지 체인의 자금 수신 유무를 파악하고 목적지 체인에서 전환된 자금을 전송하도록 명령을 전달하는 과정은 오프-체인(Off-Chain) 상에서 처리되기 때문에 두 블록체인 간의 트랜잭션 연결성이 단절되는 현상이 발생합니다. 이러한 사실은 범죄자가 암호화폐를 이용한 자금 세탁 과정에서 크로스 체인 브릿지를 이용하는 근거로 볼 수 있습니다.

---

연구 대상 및 방법

연구 대상 서비스 정보는 다음과 같습니다.

연구는 트랜잭션 정보 및 암호화폐 주소 획득을 목적으로 합니다. 설치형 프로그램의 경우 지갑 파일이 사용자 패스워드로 암호화되므로 복호화를 하기 위해서는 사용자 패스워드를 확보해야 합니다. 하지만 사용자 패스워드를 알고 있고, 지갑 파일을 확보할 수 있는 경우 지갑 프로그램을 실행하고 사용자 패스워드를 입력해 지갑 데이터에 접근할 수 있기 때문에 별도의 복호화 연구는 목표로 하지 않습니다.

연구는 각 서비스에서 트랜잭션을 수행하기 전 서비스 데이터를 수집한 뒤, 트랜잭션을 수행하고 데이터를 다시 수집해서 비교하는 방식으로 진행합니다.

연구 대상 하드웨어 지갑 연동형 서비스 3종은 모두 크로미움(Chromium) 기반의 Electron Framework를 통해 개발된 프로그램으로, 크로미움 기반 브라우저와 유사한 구조를 가지고 있어 기존에 알려져 있는 크롬 브라우저 분석 방법과 유사하게 진행했습니다.

믹싱 서비스 중 Wasabi Wallet은 서비스를 통해 지갑을 생성하고, Samourai Whirlpool은 모바일 어플리케이션을 통해 지갑을 생성하고 데스크톱 프로그램과 페어링을 했습니다. 두 서비스 모두 지갑 주소에 비트코인을 전송한 뒤 코인조인을 수행했습니다. 두 서비스는 코인조인을 수행할 때, 별도의 수신 주소를 지정하는 것이 아니라 지갑 내에 포함되어 있는 다른 주소로 분배되는 방식으로 동작합니다. Yomix.io 서비스는 믹싱 결과를 받게 될 수신 주소를 지정한 뒤, 서비스에서 생성한 수탁 주소에 비트코인을 전송했습니다.

크로스 체인 브릿지 서비스 연구는 4-1절의 다)항에서 언급한 공격 사례에서 공격자가 자금 세탁에 이용한 출발지 체인 및 목적지 체인과 동일하게 설정하고 진행합니다.

---

연구 결과

연구 결과는 논문을 참고해주시기 바랍니다.

---

결론

사용자는 암호화폐를 관리하기 위한 목적으로 시중에 공개되어 있는 다양한 암호화폐 서비스를 이용할 수 있습니다. 암호화폐 서비스 중 일부는 설계상의 이유로 인해 암호화폐 추적을 어렵게 만들 수 있습니다. 따라서 이러한 서비스를 이용했을 때 생성되는 데이터의 분석을 통해 사용자가 의도한 목적지 체인, 목적지 암호화폐 주소 또는 적어도 사용자의 암호화폐 주소 및 트랜잭션 정보를 식별할 수 있는 연구가 필요합니다.

본 연구에서는 하드웨어 지갑 연동형 서비스 3종, 믹싱 서비스 3종, 크로스 체인 브릿지 서비스 3종을 대상으로, 서비스를 이용했을 때 생성되는 아티팩트를 분석해서 사용자의 암호화폐 주소, 트랜잭션 관련 정보와 그 외 유의미한 정보를 획득할 수 있는 방안을 마련하기 위한 실험을 진행했습니다.

본 연구를 통해 세 가지 유형의 암호화폐 서비스를 이용했을 때 생성되는 아티팩트에서 사용자의 암호화폐 주소 및 거래 정보와 관련된 유의미한 데이터를 획득할 수 있는 가능성을 확인했습니다. 유사한 형태의 다른 서비스도 이와 비슷한 방식으로 분석이 가능할 것으로 예상하며, 향후 수사에 도움이 될 수 있을 것으로 기대합니다.

---

논문과는 별개로...

호스트 환경에서 사용할 수 있는 다양한 암호화폐 서비스를 분석해본 결과 서비스마다 저장하는 데이터의 형태가 천차만별이라는 점을 다시 한 번 느낄 수 있었습니다. 이전 포스팅에서도 언급했지만 암호화폐 서비스는 워낙 종류가 많고, 저장하는 데이터 또한 형태가 다양하기 때문에, 모든것을 디지털포렌식 도구가 지원하기를 기대하는 것은 어려울 것 같습니다. 따라서 직접 서비스를 이용해보고 분석해보는 경험을 권해드리고 싶습니다. 실험에 사용할 코인을 구매하는 것이 부담된다면 테스트넷을 지원하는 서비스를 이용해보시는 것을 추천드립니다.