“다크웹 속 비트코인 추적한다”…AI 보안관 만드는 S2W랩 포부는

올 여름 국내 암호화폐 업계의 최대 이슈는 ‘자금세탁 방지(AML)’다. 오는 6월에는 주요 20개국(G20)이, 7월에는 국제 자금세탁방지기구(FATF) 상호평가가 국내 암호화폐 규제에 파고를 일으킬 예정이다. 지난 28일 국무회의에선 “국회에 계류 중인 특금법 개정안을 조속히 통과해야 한다”는 입장도 나왔다.  AML을 골자로 △ 가상자산 취급업소 정의 △ 가상자산 취급업소 신고의무 이행 여부 확인 등의 내용을 담은 제안이다.

이런 분위기에 발맞춰 업계에선 AML 솔루션이 진화하는 추세다. 지난 23일 경기도  판교 사무실에서 만난 에스투더블유랩(S2W랩)의 서상덕 대표, 카이스트 정보보호대학원 교수인 신승원 최고기술책임자(CTO)는 “현존하는 암호화폐 AML에서 한 걸음 나아가야 한다”며 다크웹을 거론했다.

다크웹은 구글이나 네이버와 같은 일반 검색 엔진으로 접속할 수 없는 익명 네트워크다. 일상에서 사용하는 웹이 서피스(표면)웹이라면 다크웹은 컴퓨터끼리 교신할 때 주고받는 정보를 최소화한다.

에스투더블유랩은 2015년부터 다크웹 데이터를 축적해 비트코인을 포함한 암호화폐 관련 범죄를 추적해왔다. 다크웹-블록체인-기존 웹에 있는 범죄 관련 데이터를 엮고, 인공지능 모델을 통해 자금세탁 위험을 미리 감시할 수 있다는 설명이다. 암호화폐를 활용한 자금세탁 패턴, 인공지능이 범죄를 파악하는 방법, 암호화폐 규제의 방향성에 대해 들어봤다.

에스투더블유랩 개발지원팀 김민섭 상무(좌), 서상덕 대표, 대전에서 화상으로 인터뷰에 참여한 신승원 교수(우)

Q.처음부터 블록체인을 기점으로 사업을 시작하진 않았다고 전해 들었다.

서상덕 대표(이하 서) : 카이스트 NSS랩은 네트워크& 시스템시큐리티(Network & System Security)의 약자다. 인터넷 보안, 자율주행차부터 드론이나 무선통신 등 네트워크에 맞물려있는 모든 보안 이슈를 연구하는 팀이다. 에스투더블유랩도 이 팀에서 시작됐다.

4년 전부터 다크웹이라는 익명 네트워크에 주목했다. 당시 이름도 없는 익명 네트워크 기술 중 하나였다. 기존 업체들 입장에선 이 네트워크를 타고 오는 쪽이 누군지 모르기 때문에 이들로부터 공격을 받아도 흔적을 추적하기 매우 어려웠다. 마치 동네 CCTV망을 피해 다닐 수 있는 길이 있는 셈이다. 이 길로 다니는 사람을 감지해야 하는 게 학계의 역할이었다. 다크웹에 있는 행적을 최대한 모아 거꾸로 추적하는 방법을 분석해 연구하기 시작했다.

시기적으로 암호화폐와 맞물렸다. 다크웹에 올라온 중요 정보 중 하나가 비트코인 주소였다. 이걸 힌트로 행적을 탐지할 여지가 있었다. 진짜 마약을 팔든, 마약 이미지만 붙여둔 사기 거래든 비트코인 주소만큼은 (돈을 수령해야 하니) 진짜다. 검은 돈을 받으려는 쪽을 역추적해서 알아내는 데 중요했다. 다크웹에 있는 방대한 데이터와 함께 여기서 거론되는 주소를 최대한 끌어와 비트코인 블록체인 원장에서 여러 데이터를 모으고 관리하는 방법을 연구하고 논문을 쓰기 시작했다.

올 초 다크웹 속 돈의 흐름이 심상치 않고, 이를 추적할 수 있는 방법에 대한 논문도 학회에 발표했다. 논문이 등재된 다음 날 인터폴에서 카이스트로 연락을 해왔다. 자기들에게 필요한 기술로 보이며 공동연구도 논의해보자는 내용이었다.

다크웹을 주기적으로 모니터링하면서 암호화폐 주소, 관련 범죄, 거래 내역 분석을 인공지능으로 수행할 수 있다. (이미지 출처 : S2W랩)

Q.암호화폐 관련 AML에 대한 관심은 꾸준했다. 어떤 점에서 보강이 필요하다고 보는가.

신승원 교수(이하 신) : 블록체인 업계에 있는 AML 기술 대부분이 블랙리스트 기반이다. 사기를 당했다거나 받아야 할 돈을 제대로 받지 못했다는 등의 사례를 제보받고, 이와 관련된 암호화폐 주소 리스트를 만들어 공유하는 식이다. 단점은 명확하다. 누군가 신고하지 않으면 탐지할 수 없다. 예컨대 중국에서 암호화폐 사기를 당해서 후오비 같은 코인거래소에 제보했더라도 타 국가 코인거래소에는 이게 공유되지 않는다. 정보가 혼재해 있고, 운영 방법이 부재하다.

보안 분야에서 원래 악성 IP나 스팸메일 이력 등을 토대로 블랙리스트를 만드는 게 기본인데, 이게 너무 원시적인 방법이니 개선해야 하는 게 당연하다. 더 나아가 암호화폐 거래를 패턴화하자는 얘기가 나온다. 이 블랙리스트를 기점으로 거래 내역을 확장해 보면 인간이 보지 못하는 특성이 있다. 보통 계좌는 월급을 받거나 소액을 이체하는 등 특정 패턴이 없다. 하지만 나쁜 용도로 쓰이는 계좌는 다르다.

특정 시간대에 자금이 확 들어왔다가 빠지기도 한다. 이미 알려진 ‘나쁜 주소’들의 특성을 구분할 수 있다. 수십 가지 거래 내역을 테스트해서 기계학습 클러스터링(분류) 모델을 디자인한 후 임의의 암호화폐 주소를 모델에 넣어보니 99% 이상  정확도로 ‘나쁜 주소’를 파악해냈다. 이를 실제 솔루션으로 적용하게 됐다.

이상거래 패턴에 대해 설명하는 서 대표.

서 : 대포통장이나 자금세탁 계좌는 가만히 있다가도 갑자기 돈이 들고나기도 한다. 혹은 여러 계좌에서 한꺼번에 자금이 모이기도 한다. 일상적인 계좌와는 패턴이 완전 다르다. 코인거래소 입장에서는 이런 패턴을 감지할 순 있다.

AML 솔루션으로 파트너십을 맺은 비트소닉도 비슷한 얘길 했다. 예컨대 막 생성한 계좌에 갑자기 거금이 들어온 후 바로 출금 요청이 온다거나 한 사람이 계좌를 여러 개 개설한 후 한동안 쓰지 않다가 차례대로 다량의 비트코인이 입금돼 일말의 해외계좌로 송금 요청을 하는 식이다. 하지만, 의심이 된다고 해도 출금을 정지해두고선 실제 피해자가 나타나거나 검경이 조사에 나서길 기다리는 것 외에 코인거래소가 할 수 있는 일이 별로 없다.

에스투더블유랩은 자금세탁 관련 패턴을 인식하고 거꾸로 이를 추적하는 솔루션을 고안했다. 계좌 패턴이 이상한지, 다크웹 사이트 운영자로부터 흘러온 건지, 미국 도박 사이트로부터 들어온 자금인지 등등 검찰 입장에선 수사를 위한 증거가 생긴다.

사후 추적이 아니라 예방으로서 AML에 기여할 수 있다고 본다. 항상 암호화폐 거래 패턴을 체크해 블록체인을 범죄 용도로 쓰지 말라는 가이드를 제시할 경우 이런 예방 기법을 도입하는 코인거래소와 국가가 늘어날 수 있다. 더불어 다크웹도 얼마든지 추적당할 수 있다는 인지가 생기면 검은 자금이 암호화폐 루트에서 조금 벗어나고 그 순기능은 강화될 것으로 기대한다.

Q.다크웹을 분석하는 이유도 ‘나쁜 주소’를 꾸준히 확보하기 위함인가.

신 : 사람들이 실제 필드에서 범죄를 저지르기 전에 논의가 가장 먼저 일어나는 채널 중 하나가 다크웹이다. 여기선 비트코인이나 이더리움을 나쁜 용도로 쓴다. 실크로드, 알파베이, 월드마켓 등에서 마약이나 무기 거래, 자금세탁 서비스 등에 붙어있는 암호화폐 주소들이 있다.

악의적인 행위자가 서피스웹, 다크웹을 통해 불법 거래자를 모으고, 블록체인을 통해 자금을 전송한다. (이미지 출처 : S2W랩)

서 : 맞다. 기본적으로 익명 네트워크는 서로 밝히지 않고 만나는 네트워크다. 잡담하는 건 상관없지만 더 나아가 거래를 하려면 피차 주고받는 정보가 늘어난다. 익명 네트워크에서 계속 거래를 진행하기엔 불편이 따른다. 돈을 받는 쪽이든 물건을 받는 쪽이든 (익명이니) 불안하다. 그래서 다크웹에서 신뢰가 쌓였다고 판단하면 다른 레이어로 넘어간다. 어떤 형태로든 카톡, 문자, 전화, 텔레그램, 이메일 등의 채널로 이동하는 경우가 많다.

이런 연락처를 남기기 위해 여기로 메일 보내라, 텔레그램으로 접속해라, 서피스웹상에 다른 주소가 있으니 거기서 얘기하자, 이렇게 해서 이전하는 과정이 포착된다. 다크웹 유저는 (추적이 가능한) 연락처를 남겼다가 바로 지우면 없어진다고 생각하지만 크롤링 주기나 패턴에 따라 이 연락처 정보를 유용하게 끌어낼 수 있다.

대량의 이메일 정보, 악성코드, 불법 포르노 등을 익명 네트워크로 전달하긴 굉장히 어렵기도 하다. 속도가 50KB밖에 안 되는 이메일에 수백 MB짜리 첨부파일을 보내는 것과 유사한 상황이 벌어진다.

즉, 인터넷 속 각 레이어 성격이 다르다. 다크웹이 일종의 홍보 채널이나 마케팅 채널이면 블록체인 쪽은 자금이 오고가는 공간이다. 진짜 중요한 거래 사항은 기존 인터넷망에 구석구석 박아놓는 식이다. 저희가 이 라인을 따라가서 서피스웹에서 데이터를 긁어 오면 다크웹 유저가 팔려고 저장해둔 악성코드나 디지털 성범죄 등에 대한 증거를 발견하기도 한다. 기밀문서를 가진 해커도 있었다.

자금세탁에 쓰이거나 연루된 것으로 의심되는 암호화폐 주소를 꾸준히 업데이트하는 것도 중요하다. 인공지능의 관건은 데이터의 신선도와 정확도다. 그런 점에서 저희 솔루션이 포괄하는 범주가 넓다고 본다. 누군가의 신고나 명백히 알려진 해킹 사건뿐 아니라 다크웹에서 꾸준히 수집하고 변화하는 패턴을 추적해왔으니 말이다.

기존 금융권의 ‘금융거래탐지시스템’(Fraud Detection System, FDS) 기본 구조. 인터뷰에선 암호화폐 거래에도 예방과 경고 문구가 필요하다는 의견이 이어졌다. (이미지 출처 : 금융보안연구원)

Q.자금세탁을 위해 암호화폐를 여러 곳에 흩뿌리거나 섞는 수법도 늘고 있다.(셔플링, 믹서)

신 : 셔플링이나 믹싱은 대개 거기에 쓰이는 계좌 주소가 있다. 주소를 매번 여러 개 생성하긴 힘들기 때문에 이들도 특정 주소를 자주 쓴다. 아무래도 이런 주소들이 다크웹 사이트로부터 자금을 유입 받을 때가 많다. 특별한 액션 없이 이런 자금이 거쳐 간다면 이 주소를 따로 모을 수 있다. 셔플링이나 믹싱에 연루된 ‘돈세탁 의심군’이랄까. 누군가 이 군에 속한 주소를 자주 활용하면 할수록 자금세탁 관련 연관성이 짙어진다. ‘컬러링(coloring)’ 한다고 일컫는다.

Q.인공지능이 자금세탁 흐름을 추적하는 모델이다. 프로그램이 꾸준히 개선되는 것도 중요해 보인다.

신 : 기본적으로 딥러닝과 강화학습을 함께 쓴다. 주기적으로 정상 거래, 비정상 거래 패턴을 집어넣어 모델의 정확성을 확인한다. 만약 이미 구축해둔 모델이 새로 넣어준 정상 거래 패턴을 ‘나쁜 놈’이라고 분류한다면 잘못 탐지한 것이다. 이에 대해 마이너스 게인(부정적 피드백)을 준다. 반대로 새로 넣은 나쁜 거래 패턴을 제대로 탐지하면 플러스 게인(긍정적 피드백)을 준다.

이미 결과를 아는 거래 데이터를 인공지능에 테스트해서 에러 확률도 체크한다. 에러 비율이 계속 올라간다면 딥러닝 모델의 레이어를 조금씩 바꿔 개선하는 식이다. 한 번 만든 모델을 100% 신뢰하는 게 아니라 실전에서 꾸준히 쓰면서 재학습으로 모델을 개선한다.

Q.모네로나 지캐시처럼 일명 ‘다크코인’이라 불리는 암호화폐는 블록체인으로 거래 내역 추적이 불가능하다.

신 : 이에 대한 연구도 많이 이뤄지고 있다. 기술적으로 추적하기 굉장히 어려운 게 사실이다. 상당한 정확성 없이 수사를 진행하거나 입출금을 막긴 어렵다. 다크코인 거래액수가 비트코인, 이더리움에 비교해 굉장히 적다는 게 그나마 다행이다.

유로폴을 포함한 제도권에선 다크코인을 파는 사람을 의심하는 방안도 고려하는 것으로 안다. 예컨대 일본 금융당국이 자국 코인거래소를 통해 모네로나 지캐시를 거래하려는 거래자 본인의 신분을 확인하는 식으로 제어하는 모양새다.

지난 22일 유로폴은 최초로 암호화폐 믹싱 사이트 서버를 단속했다고 밝혔다. (이미지 출처 : 유로폴)

Q.자금세탁 방지를 모니터링하고 예방하기 위해 인공지능을 도입하는 게 중요한 이유는?

서 : 인공지능 엔진은 더 중요해질 것이라고 내다본다. 네트워크에 물려있는 시간과 그 중요도가 계속 커지고 있다. 과거에는 메일이나 노트북이 해킹되면 ‘복구하는 데 며칠 걸린다’고 불편해하는 정도였다. 지금은 계속 인터넷에 연결된 상태로 지낸다. 자율주행차나 사물인터넷(IoT)도 곧 주변에 들어온다.

우린 사이버 범죄를 수사할 때 일차적으로 대응하는 인공지능 수사관을 만드는 일을 하고 있다. 네트워크에 연결된 정보가 내 생활의 많은 부분을 차지하는데, 이로부터 일어나는 범죄나 침해를 사람이 막을 수 있느냐의 문제가 대두한다. 초당 수만 비트로 움직이는 네트워크 오류를 잡기도 어려운데 악의적으로 네트워크를 통해 오는 공격을 인간 사이버 수사관이 다 막기 어렵다고 본다. 사람이 인지하고 대응하기엔 정보의 양이 너무 많다.

Q.자금세탁 방지는 특히 규제 당국, 은행권, 코인거래소가 나서야 하는 영역이기도 하다.

서 : ‘코인거래소는 출입국 관리 사무소와 같은 역할을 한다’는 말에 공감한다. 외국에 나가려면 절차가 따른다. 해외송금을 할 때 기준에 따라 세금 신고, 송금 은행 정보 등 자세한 내역을 제출하는 은행권 AML 절차도 존재한다.

하지만 지금은 암호화폐를 통해 밀항 루트가 크게 뚫려있다.  비트코인이 자금이동 수단으로 쓰이는 한 자산 가치를 인정받지 못해 사그라지지 않을 것이다. 기존 은행권이 수십년 걸쳐 자금세탁을 막기 위해 겨우 구축한 시스템이 일거에 뚫린 형국이다. 국가 경계를 넘나드는 규모를 아무도 감시하지 않는 상태라 엄청난 자금이 기존 루트를 피해 다닌다. 코인거래소에 대해 최소한의 규정이 있어야 하는데 그조차 없으니 지하경제가 너무 커진다.

범죄 자금에 대해선 그에 상응하는 큰 리스크를 져야 하지 않는가. 기존 외환 밀반출이 어려운 탓에 제도권 밖으로 밀려났다. 암호화폐 거래는 그에 비교하면 너무 편하고 아무 관리 감독을 받지 않고 있다. 이에 대해서도 ‘불편’해지는 조치가 필요하고, 큰 사고에 암호화폐가 쓰이지 않도록 최소한 막아야 한다.

올해 2월 미국에서 진행된 NDSS에 참석한 에스투더블유랩. NDSS는 4대 보안 학회 중 한 곳으로 네트워크와 분산 시스템 보안을 주로 다룬다. (이미지 출처 : S2W랩)

Q.암호화폐 규제가 필요하다는 분위기지만, 그 방향을 두고 논의가 지지부진하다.

서 : 익명성 자체는 나쁘지 않다. 도리어 지금 네트워크 기술은 너무 오래돼서 노드(컴퓨터)끼리 교신할 때 과도하게 많은 정보가 넘나드는 게 사실이다.

다만, 익명 네트워크나 블록체인을 활용할 수 있어도 이를 악용해 피해가 발생할 시 범죄에 대한 추적과 대가가 따를 필요가 있다. 정당하게 유학자금이나 여행자금을 비트코인으로 송금하거나 디지털 자산을 보유해보려는 사람도 이 분야에 접근하기 싫어지는 상황이다. 자금세탁 악용이 방지돼야 순기능이 살아나지 않을까 생각한다.

코인워시처럼 대놓고 자신들이 자금세탁기라고 주장하는 업체, 거래 플랫폼도 적지 않은 것으로 보인다. 이런 곳은 제도적으로 막는 게 중요하다. 기술 솔루션으로 자금세탁 패턴을 섬세하게 잡아내는 것만큼 대놓고 이런 장사를 하는 곳부터 막아야 한다.

특히 블록체인은 국경을 넘어서는 탈중앙화를 지향하는 기술인만큼 자금세탁 관련 기술을 많이 보유한 국가가 전 세계에 인프라를 제공하고 기여해 인정받을 것이다. 기술이 한발 앞서가면 제도가 뒤따를 수 있다. 자율주행 자동차가 생겼을 때 도로교통부가 먼저 법을 정비하는 것보다 기업이 기술 발전에 따라 규제 제안을 하는 모양새다. 주요 코인거래소와 자금세탁 솔루션을 가진 개발사가 목소리를 내서 드라이브하고, 이들을 관(官)이 지원하는 구조가 맞지 않을까 생각한다.

관련 기사 : 금융범죄 중심 선 ‘미운오리’ 암호화폐…답은 거래소에 있다

썸네일 출처 : S2W랩