다크웹 세계에서 암호화폐 기반 불법 마약 거래 암시장 웹사이트 제거가 1년에 두 번 이루어지는 주기적인 일이 되었다. 그와 동시에 다른 다크웹 여러 곳이 법률 집행 기관의 작전에 따라 사라진 다크웹의 빈 자리를 채울 준비를 한다. 다크웹 하이드라(Hydra)가 지금까지 다른 여러 다크웹보다 더 먼 곳까지 파급 효과를 일으켰다. 단순히 소련 붕괴 후 등장한 최대 규모 온라인 마약 판매 중심지 파괴를 넘어 세계 각지에 대규모 피해를 낳은 범죄가 된 사이버 범죄 조직의 자금 세탁과 현금 인출 서비스도 무력화했다.
4월 5일 이른 시각(현지 시각), 독일 법률 집행 기관은 독일 연방범죄경찰국(BKA)이 미국 연방수사국(FBI), 미국 법무부 산하 마약단속국(DEA), 미국 국세청 범죄 수사국(IRS Criminal Investigations), 미국 국토안보부와 협동 작전을 펼쳐 하이드라의 독일 서버를 압수하고 사이트를 폐쇄함과 동시에 하이드라 서버에 보관된 총 2,500만 달러 상당의 비트코인을 압수했다고 발표했다. 이 과정에서 법률 집행 기관은 다크웹 역사상 세계에서 가장 오래 활동을 펼친 암시장을 어느 정도 폐쇄하면서 판매자 계정 1만 9,000여 개와 구매자 계정 1,700만여 개를 폐쇄했다. 그와 동시에 미국 재무부는 시장과 하이드라의 암호화폐 주소 100여 개에 새로이 제재를 시행했다.
블록체인 분석 기업 엘립틱(Elliptic)에 따르면, 하이드라는 전체적으로 2015년, 사이트 개설 당시부터 모은 불법 암호화폐 거래 금액 50억 달러 상당을 빼앗겼다. 엘립틱은 하이드라의 거래 대부분이 불법 마약 거래로 이루어졌으며, 하이드라는 구소련 국가로 목표 시장을 정하면서 거래 범위를 엄격히 제한했다. 그러나 하이드라는 전 세계 사이버 범죄에 매우 큰 비중을 차지했다. 하이드라는 암호화폐 세탁과 자산 추적 혼란을 유발할 의도로 설계한 자금 혼합 서비스도 제공했으며, 모든 범죄 개시 도중 암호화폐를 러시아 루블화로 거래할 수 있는 서비스를 제공했다.
제스 시밍턴(Jess Symington) 엘립틱 연구 총괄은 “하이드라는 마약 거래 시장과 사이버 범죄 조직 서비스라는 두 가지 기능을 제공했다. 특히, 러시아 사이버 범죄 조직을 대상으로 서비스를 제공했다. 따라서 하이드라 폐쇄는 단순히 마약 거래 시장을 넘어 범죄 조직이 자산 발행이나 현금 인출 방법을 다시 찾도록 영향을 줄 것이다”라고 말했다.
[사진=Pixabay]
암호화폐 추적 기업 체이널리시스(Chainalysis)는 2021년부터 2022년 초까지 하이드라 암호화폐 주소로 입금된 거래 금액 20억 달러 중 약 50%가 불법 자산이거나 탈취 자산이나 다크웹 시장, 랜섬웨어, 온라인 도박, 스캠, 제재 대상이 된 개인 및 조직 등 위험한 수단으로 자산을 확보한 사실을 확인했다. 다시 말해, 하이드라가 확보한 자금 약 10억 달러는 하이드라가 자금 세탁이나 루블화 환전 거래를 도우면서 확보한 자산이 아니다. 마약 구매나 하이드라 사이트 판매를 통해 불법으로 얻을 수 있는 등 합법적이지 않은 방식으로 얻은 자산이다.
체이널리시스는 지금까지 총 2억 달러 상당의 암호화폐 탈취 금액이 2021년부터 2022년까지 하이드라에 들어간 것을 확인했다. 또, 그보다는 훨씬 더 작은 규모의 금액이 다른 범죄와 관련이 있다는 점도 발견했다. 제재 대상을 통해 얻은 자산은 약 400만 달러, 사기 행위로 얻은 자산은 500만 달러, 랜섬웨어로 얻은 자산은 400만 달러로 집계됐다. (체이널리시스는 하이드라를 통해 전달된 전체 랜섬웨어 비용이 900만 달러에 이르지만, 이는 실제 랜섬웨어 탈취 금액보다 적은 수준으로 추정한 결과이다.) 2021년부터 2022년까지 3억 1,000만 달러 상당의 금액(다른 사이트에서 하이드라 자산을 세탁한 뒤 회수한 금액 포함)을 여러 다크웹을 통해 얻은 것도 하이드라가 자금을 확보한 또 다른 주된 수단이다. 해당 금액은 다크웹 사용자가 마약 등 각종 불법 제품 및 서비스 거래 금액 세탁과 인출을 원해, 관련 서비스를 제공하면서 확보했다.
최근의 하이드라 자산 확보 수단 조사 결과와 폐쇄 소식 모두 하이드라가 소련 붕괴 이후 시대에 불법 자금을 확보할 완벽한 경로가 아니라는 사실을 분명하게 나타낸다. 또한, 지금은 오프라인 상태로 전환된 하이드라가 광범위한 사이버 범죄 경제의 금융 서비스 주요 제공 웹사이트임을 확인할 수 있다. 킴 그라우어(Kim Grauer) 체이널리시스 연구 소장은 “하이드라의 활동 상황을 자세히 추적할 계획이다. 사이버 범죄 생태계에 큰 영향을 미치기 때문이다. 하이드라 웹사이트 폐쇄는 사이버 범죄 세계의 중대한 파괴 행위이다”라고 말했다.
하이드라는 현금 인출 서비스 부분에서 은행에 예치한 달러화나 유로화 환전을 위해 암호화폐 거래를 하는 일반 거래소와 같은 역할을 하지 않았다. 위협 정보 기업 플래시포인트(Flashpoint)의 러시아어 구사 능력을 갖춘 애널리스트팀은 하이드라가 제공한 서비스는 고객이 암호화폐를 사용해 사이트 내 공급사를 통해 루블화를 구매하도록 한 뒤 구매자에게 QIWI, 팅크오프(Tinkoff), 그리고 추후 유머니(YooMoney)로 브랜드명을 변경한 얀덱스머니(Yandex.Money) 등 결제 서비스로 루블화를 건넸다. 디지털 자금 거래 활동 자취를 줄일 방안을 모색한 이들은 자산 은닉 시스템인 클라드(klad), 혹은 ‘자산 숨김’ 서비스를 사용할 수 있었다. 클라드는 암호화폐로 루블화를 구매한 곳에서 서비스 안내자가 거래 자산을 대거 암시장에 은닉하도록 한다. 그리고 몇 시간 뒤 클라드는 구매자에게 자산 은닉 위치를 알려준다. 구매자는 추후 은닉한 자산을 찾아 회수할 수 있다.
자산 은닉 시스템은 자산 발견이나 탈취 위험 때문에 은닉 자산의 15% 수준으로 수수료가 매우 비쌌다. 그러나 수수료는 중범죄와 관련된 암호화폐 보유에 집착하는 이들이 충분히 부담할 만한 수준이다. 플래시포인트 애널리스트 블라드 쿠이우주클루(Vlad Cuiujuclu)는 “기본적으로 일부가 사라진 자산을 추적하게 된다. 사이버 범죄 세력은 자산 전체 추적과 신원 노출보다는 수수료를 조금 더 부담하는 것을 더 선호한다”라고 말했다.
하이드라가 완전히 폐쇄됐는지 혹은 머지않아 다시 등장할 것인지는 관점에 따라 답이 달라질 것이다. 결국, BDA는 하이드라 운영자 한 명이라도 체포했다는 소식을 발표하지 않았다. 플래시포인트와 체이널리시스가 2021년에 발행한 합동 연구 보고서는 하이드라 운영과 관련된 인물의 이름을 두고 적어도 관리자와 운영자가 11명이 될 것으로 추산했다. 보고서는 시장을 운영한 이들이 아이언맨(Ironman), 데우스(Deus), 핸섬 잭(Handsome Jack), 글래브레드(Glavred), 파탈리티(Fatality), 사토시 나가모토(Satoshi Nakamoto) 등 익명으로 활동했다고 밝혔다.
그러나 시밍턴 총괄은 하이드라 관리자와 운영자가 법률 집행 기관의 수사망을 피했더라도 추후 다른 다시 등장할 때, 다크웹 세계에서 의심받게 될 수 있다고 주장했다. 이제 사용자는 하이드라 관리자가 법률 집행 기관의 수사로 신원이 노출될 것을 우려한다. 시밍턴 총괄은 “엘립틱은 한 번 폐쇄된 다크웹 시장이 다시 등장하면서 운영에 큰 어려움을 겪은 사례를 여러 차례 보았다. 한 번 폐쇄된 후 다시 등장한 다크웹은 절대로 초기 다크웹처럼 성행하지 못한다. 또, 기존 폐쇄된 다크웹 운영자라고 주장하는 이들의 정체가 진짜인가를 둘러싼 의문이 항상 따라다닌다”라고 설명했다.
하지만 하이드라가 법률 집행 기관의 작전 회복성을 입증하고 10년이 지난 뒤 더 규모가 큰 암호화폐 암시장이 다른 서비스를 운영하면서 하이드라가 사라진 러시아 사이버 조직 다크웹 세계의 격차를 메울 확률이 매우 높다. 하이드라가 확실히 사라졌더라도 하이드라의 불법 경제 자체는 또 다른 곳에서 성행하면서 하이드라를 대체할 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202204/3868_5151_335.png)
뉴스레터 신청