<이미지를 클릭하시면 크게 보실 수 있습니다>

뉴스타파는 국제탐사보도언론인협회(ICIJ)와 함께 지난 7월부터 가상화폐 거래소 바이낸스(Binance)를 경유한 수백 건의 ‘가상자산(코인) 거래 내역’을 분석했다. 바이낸스는 세계 최대 가상화폐 거래소인 동시에 국제 범죄조직의 자금 세탁 통로로 지목된 곳이다.

분석 결과, 범죄수익과 연관된 것으로 추정되는 자금은 바이낸스를 경유해 또다른 가상화폐 거래소로 이동하는 방식으로 세탁된 사실이 뉴스타파 취재로 확인됐다. 캄보디아 온라인 스캠(사기) 조직이 범죄수익을 세탁할 목적으로 국내에서 구매한 ‘스테이블 코인’, 북한 해커그룹이 자금 세탁용으로 빼돌린 코인 등이다.

이러한 자금 세탁 과정에 업비트, 빗썸, 코인원 등과 같은 국내 가상화폐 거래소가 자금 출처를 감추기 위한 ‘중간 관문’이나 출금을 위한 ‘종착지’로 활용된 사실도 새롭게 확인됐다. 국경을 넘나드는 범죄조직의 자금 세탁을 막기 위해 가상화폐 거래시 고객확인절차(KYC) 등을 강화해야 한다는 지적이 나온다.

캄보디아 스캠 수익, 바이낸스 통해 세탁… 한국으로 송금
뉴스타파는 캄보디아에서 보이스피싱 등 사기 범죄를 벌인 한국인 조직원 A씨의 코인 지갑(회원 계정) 주소와 거래 내역 등을 확보했다. 이를 기반으로 입출금된 코인이 어떻게 세탁돼, 어디로 이동했는지 추적했다. 싱가포르 블록체인 보안업체 ‘웁살라시큐리티’가 자금 추적에 도움을 제공했다.

지난 5월 A씨는 국내에서 활동 중인 신원미상의 ‘자금 세탁책’과 텔레그램으로 대화를 나눴다. 이들은 스테이블코인의 일종인 ‘테더’를 이용한 자금 세탁 방법을 논의했다. 테더 등 스테이블코인은 미국 달러 가격을 추종하는 가상자산으로 자금 세탁에 자주 이용된다. 블록체인 분석업체 ‘체이널리시스’ 분석에 따르면, 2024년 발생한 불법 가상자산 거래의 63%가 스테이블코인으로 이뤄졌다.

실제 A씨의 자금 세탁엔 스테이블코인과 소위 ‘대포통장’이 활용됐다. 아래는 A씨와 세탁책이 지난 5월 당시 주고받은 메시지를 재구성한 것이다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

위 대화 내용처럼 A씨는 국내 은행에 개설된 대포통장에 500만 원을 입금했고, 세탁책은 이 돈으로 테더 3천여 개를 샀다. 세탁책은 테더를 구매할 때 국내 가상화폐 거래소 ‘코인원’을 이용했다. 구매한 테더는 다시 ‘빗썸’으로 옮겨졌다. 빗썸에 미리 만들어 놓은 지갑, 즉 개인 회원 계정으로 테더를 이동시킨 것이다. 코인 지갑은 일반 은행 거래에서 계좌번호와 같은 역할을 한다.

이전된 테더는 국외 가상화폐 거래소인 ‘바이낸스’를 경유해 A씨가 개설한 ‘개인 지갑’으로 연쇄 이동했다. 세탁책이 ‘작업’을 시작한지 약 4시간 만에, 500만 원의 범죄수익은 복잡한 자금 세탁 과정을 거처 가상자산 형태로 A씨에게 돌아왔다.

A씨는 이 돈과 다른 범죄수익을 합쳐 또 다른 자금 세탁을 실행했다. 환전된 테더를 ‘제3의 지갑’을 경유해 캄보디아 금융회사 ‘후이원페이’ 지갑으로 보내거나 업비트 예금지갑으로 송금한 것이다. 이때 사용된 테더는 약 2만 5천개로 파악된다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

가상자산은 한 거래소에 예치된 코인을 다른 거래소에 보내는 방식으로 거래된다. 이때 거래소는 여러 사용자의 송금 요청을 받아 하나의 지갑(핫월렛)에 코인을 모은 후 일괄 송금 처리한다. 이 과정에서 여러 개의 코인이 한 지갑에 뒤섞여 한 번에 송금되기 때문에 그만큼 자금 출처를 규명하기 어렵게 된다. 최근 경찰은 캄보디아에서 보이스피싱 등 사기 범죄에 가담한 한국인 64명을 검거했는데, 이들과 관련된 범죄수익도 이 같은 방식으로 세탁됐을 가능성이 높다.

뉴스타파는 캄보디아 조직원인 A씨가 실소유한 개인 지갑의 자금 흐름을 좀 더 면밀히 분석하기 위해 국내 가상자산 분석 업체인 ‘클로인트’에 분석을 의뢰했다. 분석 결과, A씨의 지갑은 캄보디아 금융회사 ‘후이원페이’에서 발급받은 것으로 확인됐다.

A씨가 코인 입출금 용도로 쓴 이 개인 지갑에는 지난 2월부터 6월까지 모두 미화 17만 달러 상당의 테더가 유입됐다. 이중, 48,600 달러가 후이원페이를 통해 출금됐고, 남은 금액 중 일부가 국내 거래소로 재송금됐다.

이 과정에서 A씨는 자금 추적을 막기 위해 중개 역할을 하는 ‘제3의 지갑’을 활용했다. 지난해 11월부터 올해 7월까지 최소 7개 이상의 지갑을 동원해 자금 세탁을 한 것으로 파악됐다. 이런 방식으로 21차례에 걸쳐 국내로 송금된 테더는 모두 11,672개, 테더는 달러와 1:1로 연동돼 있기 때문에, 우리 돈 1,710만 원 가량이 된다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

동남아 한인 범죄조직의 사정을 잘 아는 B씨는 조직들이 보이스피싱, 로맨스 스캠으로 금원을 갈취한 후 한 번에 적게는 수백만 원에서 많게는 수십억 원을 세탁하기도 한다고 말했다. 범죄수익을 1차로 상품권 형태로 세탁한 후 2차로 테더로 변환한다는 것이다. 세탁을 거친 테더는 다시 현금화하거나 온라인에서 현금처럼 사용되고 있는 것으로 전해진다.

동남아에서 스캠 범죄를 벌인 한국인 조직원들의 최근 판결문을 보면, B씨의 증언을 뒷받침하는 내용이 나온다. 해당 조직 간부들은 세탁책에 의뢰해 범죄수익을 테더로 환전한 후 각종 수수료와 사무실 운영비 등을 떼고 성과에 따라 급여를 지급했다. 또 중국인 조직에 속한 한국인들은 테더로 세탁된 범죄수익을 중국인 간부가 지정한 지갑으로 보내라는 지시를 받기도 했다.

북한 해커그룹 자금도 바이낸스 통해 동유럽으로
뉴스타파는 라자루스, 김수키 등 북한 해커그룹이 사용한 지갑 주소 558건에 대한 추적도 진행했다. 북한 해커그룹은 이들 지갑을 통해 랜섬웨어 공격 등으로 확보한 범죄수익을 융통했다. 주소 목록은 미국 OFAC(해외자산통제국), FBI(연방수사국), CISA(사이버보안 및 인프라보안국)가 공개한 자료를 참고했다.

취재 결과, 국내 거래소를 경유한 북한 자금이 바이낸스로 흘러간 사례는 최소 2건이었다. 북한 해커그룹 또는 조력자들이 국내에 은닉한 가상화폐를 국외로 반출한 것으로 보인다.

구체적으로 2021년 5월, 비트코인 0.1개가 빗썸을 통해 라자루스 관련 지갑으로 이동했다. 라자루스 일당은 이 비트코인과 다른 비트코인을 합쳐 바이낸스에 개설한 예금지갑으로 코인을 송금했다.

지난 2023년 우리 정부 독자 제재 목록에 오른 해킹그룹 ‘김수키’의 지갑에서도 자금 세탁 흔적이 발견됐다. 2022년 4월 4일부터 이틀간 모두 6차례에 걸쳐 업비트에 있던 비트코인 0.09개가 바이낸스 등 국외 거래소로 이동한 것이다. 이들 코인은 최종적으로 러시아 및 동유럽계 결제서비스 Enot.io에 개설된 한 지갑으로 유입됐다.

거래소 ‘AML 장치’ 무력화시키는 범죄 수법
이 모든 사례는 2021년 3월 ‘특정 금융거래정보의 보고 및 이용 등에 관한 법률’(이하 특금법)이 개정된 이후 벌어진 일이다. 우리 금융당국은 각 거래소에 범죄수익이 세탁되는 것을 막기 위한 의무를 부과하고 있다. 고객확인(Know Your Customer, 이하 KYC), 의심거래보고(Suspicious Transaction Reporting, 이하 STR), 자금세탁방지(Anti-Money Laundering, 이하 AML) 의무가 대표적이다.

업비트와 빗썸 등 국내 거래소 대부분은 자체 AML 시스템을 시행하고 있다. 국내 거래소간 100만 원 이상의 거래는 송·수신인의 신원정보를 수집·보관하도록 하는 ‘트래블룰’이 중요한 예시로 꼽힌다. 한국인들이 많이 이용하는 바이낸스, OKX, 코인베이스 등 해외 거래소를 상대로는 자금 세탁 위험도를 평가해 송·수취 절차를 관리하고 있다.

이중, 업비트와 빗썸은 지난 5월 1일 캄보디아 후이원그룹이 미국에 의해 ‘자금 세탁 우려기관’으로 지정되기 이전부터 선제적으로 거래를 차단했다고 밝힌 바 있다. 뿐만 아니라, 바이엑스, 신비개런티 등 자금 세탁 우려가 있는 또 다른 캄보디아계 거래소도 거래를 차단했다는 것이 이들 입장이다.

하지만, 국제 범죄조직들은 여전히 바이낸스 등을 경유해 자금 세탁을 지속하고 있다. 또한 업비트 등 국내 거래소는 바이낸스 등을 송·수신인 확인 후 거래 가능한 거래소, 즉 자금세탁 위험도가 낮은 거래소로 분류한 상태다. 현재도 지갑 주소를 사전 등록만 하면, 100만 원 미만 거래의 경우 얼마든 다른 지갑으로 코인을 보낼 수 있다. 해당 지갑이 범죄수익과 연관된 지갑이어도 제재 거래소나 자금 세탁 위험에 취약한 것으로 분류된 거래소가 아니라면 거래를 차단할 방법이 없는 게 현실이다.

뉴스타파는 업비트와 빗썸, 코인원 측에 연락해 해외 거래소와의 코인 거래시 어떤 자금세탁방지(AML) 노력을 하고 있는지 물었다. 이에 대해 업비트는 “이상 거래가 탐지되면 거래자를 상대로 자금 출처 소명을 요구한다”고 밝혔다. 빗썸은 “AML 관련 법령을 준수해 자금 세탁 의심 거래 및 거래자에 대한 모니터링과 금융정보분석원(FIU) 보고 등을 충실하게 수행하고 있다”고 답했다. 코인원도 “모든 출금 건을 모니터링하고 이상 거래 징후가 보이면 출금 제한을 하기도 한다”고 전했다.

그런데 뉴스타파가 추적한 캄보디아 스캠 조직은 이 모든 AML 조치를 뚫고 자금세탁에 성공했다. 거래가 제한된 후이원페이로 직접 송금할 수는 없었지만, ‘안전’ 거래소인 바이낸스를 경유하니 우회적으로 테더를 보낼 수 있던 것이다. 테더가 국내로 재유입되는 과정에서도 송금 액수를 쪼개 AML 조치를 피한 것은 마찬가지였다.

끊이지 않는 자금 세탁 의심 거래… “KYC 인증 강화해야”
지난 7일 금융정보분석원(FIU)은 업비트 운영사 두나무에 특금법 위반을 이유로 과태료 352억 원을 부과했다. 고객정보 확인이 부실하고, 신원 확인을 거치지 않은 거래가 있는 등 특금법 위반 사항을 적발했다는 것이다. FIU가 확인한 KYC(고객확인), AML(자금세탁방지) 의무 위반 사례는 860만 건에 이르는 것으로 집계됐다.

다른 거래소들도 KYC와 AML 의무 준수에서 자유롭다고 보긴 어렵다. 앞서 FIU는 지난 2023년 국내 5대 거래소의 자금세탁방지 의무 이행에 대한 현장 검사를 시행했는데, 이때 KYC 의무 위반에 해당하는 차명 의심거래 사례가 다수 적발됐다.

바이낸스 등 글로벌 거래소도 자금 세탁 방지에 허점을 보이고 있는 것으로 전해진다. 입시타 다스 웁살라시큐리티 사업개발부문장은 “일부 KYC 인증 지갑은 다크웹**에서 거래가 되며, ‘깨끗한’ KYC 인증 지갑을 만들 수 있게 개발도상국 국민들의 신분증을 확보해 거래하는 브로커들도 있다”고 말했다. (편집자 주: 다크웹은 암호화된 네트워크에 존재하며 특수한 경로로만 접근 가능한 웹사이트를 뜻한다)

국내 전문가들은 국내 거래소의 KYC 인증 절차와 거래 모니터링이 더욱 강화돼야 한다고 지적한다.

황석진 동국대 사이버포렌식학과 교수는 “거래소 입장에서는 비용과 인력이 들겠지만 고객확인 절차를 강화하고, 온·오프체인 데이터**를 결합해 종합적 모니터링을 해야한다”고 제안했다. 또, “(의심 고객이) 즉각적인 연결이 안 되면 선 자산동결, 소명 후 조치를 하는 등 의심거래에 대해 적극적으로 대응할 필요가 있다”고 밝혔다. (편집자 주: 온체인 데이터는 블록체인에 기록된 거래 정보를, 오프체인 데이터는 거래자의 신원, 연동된 은행계좌 정보, 그리고 거래 시 사용한 로그 및 IP 정보 등을 뜻한다.)

아울러 황 교수는 최근 스테이블코인이 자금세탁 창구로 부상한 만큼, 가상자산 발행사를 법에 정의하고 규율하는 것이 자금세탁 방지에 도움이 된다고 조언했다. 홍콩의 경우, 최근 관련 법률을 개정해 스테이블코인 발행사가 AML 조치를 도입하는 것은 물론, 코인의 발행부터 유통, 소각까지 통제권을 가지고 의심거래를 추적해야 한다는 의무 조항을 삽입했다. 하지만, 이 역시 가상자산 발행사가 글로벌 거래에서 AML 의무를 회피할 가능성은 남아 있다.

국내에서 가상자산 관련 자금 세탁을 감독하고 있는 금융정보분석원(FIU)은 “가상자산사업자의 법령준수체계에 대해 지속적으로 검사·점검해 나갈 것이며, 위반사항 적발 시 관련 법령에 따라 엄중히 조치할 계획”이라는 입장을 밝혔다.

뉴스타파 뉴스타파 webmaster@newstapa.org

뉴스타파 김지윤 jiyoon@newstapa.org