느린 안개: 미국 법 집행 기관, 2016년 Bitfinex 해킹 사건의 세부 사항 분석

저자: 느린 안개 기술

현지 시간으로 화요일(2월 8일) 미국 법무부(DOJ)는 2016년 암호화폐 거래소 Bitfinex의 해킹 사건과 관련된 360억 달러 가치의 비트코인을 압수했다고 발표했습니다. 34세의 일리야 리흐텐스타인(Ilya Lichtenstein)과 그의 31세 아내 헤더 모건(Heather Morgan)이 뉴욕에서 체포되었으며, 두 사람은 공모하여 돈세탁 및 사기죄로 기소되었습니다.

미국 법무부의 발표에 따르면, 이번 사건은 법무부 역사상 최대 규모의 금융 압수 사건이며, 이번 조사는 IRS-CI 워싱턴 D.C. 사무소의 사이버 범죄 부서, 연방수사국(FBI) 시카고 사무소 및 국토안보조사국(HSI) 뉴욕 사무소가 주도하였고, 독일 안스바흐 경찰청이 조사 과정에서 지원을 제공했습니다.

사건 배경

느린 안개 AML이 보유한 정보 데이터 분석에 따르면, Bitfinex는 2016년 8월 사이버 공격을 받아 2072건의 비트코인 거래가 Bitfinex의 허가 없이 유출되었으며, 이후 자금은 2072개의 지갑 주소에 분산 저장되었습니다. 통계에 따르면 Bitfinex는 총 119,754.8121 BTC를 잃었습니다. 사건 발생 당시 가치는 약 6000만 달러였으며, 오늘날 가격으로 계산하면 도난당한 총액은 약 450억 달러에 달합니다.

느린 안개 AML은 2월 1일 Bitfinex에서 도난당한 자금의 대규모 변동을 감지했으며, 이후 이 자금이 법무부에 의해 압수된 94,643.2984 BTC임이 확인되었습니다. 이는 도난 총액의 약 79%에 해당하며, 현재 이 자금은 미국 정부의 지갑 주소인

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt에 보관되고 있습니다.

사건 정리

느린 안개 AML은 미국 법무부가 발표한 statementoffacts.pdf 문서를 바탕으로 이 사건의 주요 요점과 세부 사항을 정리하여 다음과 같이 공유합니다:

1. 미국 법 집행 기관은 리흐텐스타인의 클라우드 계정을 통제하여 2000개 이상의 지갑 주소와 해당 개인 키가 적힌 파일을 확보했습니다. 이 파일에 있는 주소는 위에서 언급한 2072개의 도난 비트코인 해커 지갑 주소일 가능성이 높으며, 이후 미국 법무부는 이 비트코인을 압수하고

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt로 집중 이체할 수 있었습니다.

2. 2017년 1월부터 도난당한 자금이 이동하기 시작했으며, 이는 분리 체인(peel chain) 기술을 통해 도난 자금을 지속적으로 분할하고 분산시킨 후 7개의 독립적인 AlphaBay(다크웹 거래 시장, 2017년 7월 법 집행 기관에 의해 폐쇄됨) 플랫폼 계정으로 혼합되어 BTC가 쉽게 추적되지 않도록 했습니다. 결과적으로 AlphaBay에서 혼합된 비트코인은 약 25,000 BTC에 달합니다.

3. 혼합 후 대부분의 자금은 거래소-1(VCE 1)에 등록된 8개의 계정으로 이체되었으며, 이 계정들은 모두 동일한 인도의 이메일 서비스 제공자를 사용했습니다. 또한 이 8개 계정은 동일한 로그인 IP를 사용했으며, 모두 2016년 8월경에 등록되었습니다.

더욱 치명적인 것은 리흐텐스타인의 클라우드에 8개 계정의 다양한 정보가 기록된 Excel 파일이 있었고, 그 중 6개 계정은 그가 FROZEN(동결됨)으로 표시했습니다. 미국 법무부의 통계에 따르면, 거래소-1(VCE 1)의 8개 계정에는 총 18.6만 달러의 자산이 동결되어 있습니다.

4. 혼합 후 일부 자금은 거래소-2(VCE 2)와 미국의 거래소(VCE 4)로 이체되었으며, 이 두 거래소에 등록된 계정 중 일부도 위에서 언급한 인도의 이메일 서비스 제공자를 사용했습니다. 이러한 정보는 위에서 언급한 리흐텐스타인의 클라우드의 Excel 파일에서도 발견되었습니다.

VCE 2와 VCE 4를 통해 리흐텐스타인 부부는 Bitfinex에서 도난당한 BTC를 법정 화폐로 교환하여 수익을 올렸습니다. 그러나 그들은 VCE 4에서 러시아 이메일로 등록된 2개의 계정을 가지고 있었고, 잦은 XMR(모네로) 충전으로 인해 자금 출처를 설명할 수 없어 계정이 플랫폼에 의해 차단되었습니다. 미국 법무부의 통계에 따르면, 이 계정에서 약 15.5만 달러의 자산이 동결되었습니다.

5. 계정이 동결되기 전, 거래소-1(VCE 1)에서 출금된 자금의 대부분은 또 다른 미국 거래소(VCE 5)로 이체되었습니다. Bitfinex에서 도난당하기 전인 2015년 1월 13일, 리흐텐스타인은 VCE 5 거래소에서 자신의 실제 신원과 개인 이메일로 계정을 등록하고 KYC 인증(실명 인증)을 받았습니다. VCE 5 거래소에서 리흐텐스타인은 BTC로 플랫폼의 상인에게 금을 구매하고 이를 자신의 실제 주소로 배송했습니다.

6. 앞서 언급한 VCE 1, VCE 2, VCE 4, VCE 5 외에도 리흐텐스타인 부부는 VCE 7, VCE 8, VCE 9, VCE 10 등 여러 거래소(모두 코드명)를 등록하여 돈세탁을 시도했습니다. 자금은 주로 VCE 1에서 출금된 것을 통해 이동되었습니다. 그러나 VCE 7 - 10에 등록된 계정은 리흐텐스타인 부부의 실제 신원과 그의 회사(Endpass, Inc 및 SalesFolk LLC)로 KYC 인증을 받았습니다.

미국 법무부의 통계에 따르면, 2017년 3월부터 2021년 10월까지 리흐텐스타인 부부는 VCE 7의 3개 계정에서 약 290만 달러 상당의 비트코인 자금을 수령했습니다. 이 거래소에서 리흐텐스타인은 알트코인(비주류 코인), NFT 등을 사고팔아 돈세탁을 진행하였으며, 비트코인 ATM 기기를 통해 현금화했습니다.

돈세탁 경로

사건 의문점

2016년 8월 Bitfinex가 해킹당한 이후 약 6년이 지났습니다. 이 기간 동안 미국 법 집행 기관이 어떻게 심층 조사를 진행했는지는 알 수 없습니다. 공개된 statementoffacts.pdf 문서의 내용을 통해 리흐텐스타인의 클라우드에 대량의 돈세탁 계정과 세부 정보가 저장되어 있어, 이는 사실상 완벽한 "장부"와 같아 법 집행 기관이 범죄 사실을 입증하는 데 강력한 지원을 제공합니다.

하지만 전체적으로 볼 때, 법 집행 기관은 어떻게 리흐텐스타인을 용의자로 특정했을까요?

또한 한 가지 세부 사항은 미국 법무부가 리흐텐스타인 부부를 Bitfinex에 대한 불법 공격 및 자금 절도로 기소하지 않았다는 점입니다.

마지막으로 의문은 2016년 8월 Bitfinex가 해킹당한 이후 2017년 1월까지 도난당한 자금이 이동하기 시작하기까지의 5개월 동안 무슨 일이 있었는가? 실제로 Bitfinex를 공격한 도난 해커는 누구일까요?