미국 규제 관점에서 Tornado Cash가 제재를 받게 된 이유와 이후의 추측

저자: David, W3.Hitchhiker

규제 사건:

8월 8일, 미국 재무부 산하 외국 자산 통제 사무소 (OFAC)는 암호 믹서 Tornado Cash에 대한 제재를 발표했습니다. 이 서비스는 지난 3년 동안 70억 달러 이상을 세탁했으며, 북한 국영 해커 조직인 Lazarus Group이 미국의 처벌을 피하는 데 도움을 주었다고 밝혔습니다. 세탁된 총액에는 3월에 Lazarus Group이 해킹한 4.55억 달러와 6월에 Harmony Horizon Bridge의 해커가 얻은 9600만 달러가 포함됩니다.

현재까지 영향을 받은 부분은:

1. Tornado Cash와 상호작용한 SDN에 등재된 일부 이더리움 및 USDC 주소와 USDC 자산

2. Tornado Cash의 Github 코드 저장소 및 프론트엔드 웹사이트가 접근할 수 없음

규제 배경 분석:

배경 1: 이번 제재의 주요 동기는 미국 정부가 암호 해커에 대한 금융 제재의 효과를 보장하기 위함

이번 제재를 시행한 OFAC는 미국 재무부 산하에서 해외 기관이나 개인에 대한 금융 제재를 전문적으로 집행하는 기관입니다. 그들의 일상 업무는 암호 산업의 규제를 직접적으로 포함하지 않으며, 해외의 민감한 자금 흐름을 모니터링하고 제재 조치가 이행될 수 있도록 보장하는 것입니다. 이전에 미국 정부가 이란, 북한, 러시아, 심지어 중국 화웨이에 대한 제재에서도 OFAC의 활발한 활동이 있었습니다.

OFAC는 정기적으로 유명한 특별 제재 인물 목록(SDN)을 발표하며, 목록에 있는 개인이나 조직의 자산은 동결되고, 미국 시민은 일반적으로 그들과 거래하는 것이 금지됩니다.

이번 Tornado Cash 제재 이전인 4월 14일, OFAC는 북한 제재 규정에 따라 Lazarus를 SDN 목록에 추가했습니다. 2020년 미국 정부가 발표한 군사 보고서에 따르면, 북한의 해커 프로그램은 최소한 1990년대 중반으로 거슬러 올라가며, 현재 6000명의 사이버 전투 부대를 보유하고 있습니다. 블록체인 분석 회사 Chainalysis에 따르면, Lazarus는 2021년에 암호 플랫폼에 대해 최소 7차례 공격을 감행하여 거의 4억 달러의 디지털 자산을 탈취했습니다.

2022년 이 조직은 Axie Infinity에 대한 공격을 감행하여 173,600 이더(약 5.97억 달러)와 2550만 달러의 USDC 등 총 6.25억 달러의 자산을 확보했습니다. 이는 지금까지의 탈중앙화 해킹 중 가장 큰 금액입니다. 또 다른 BEOSIN 통계에 따르면, 올해 상반기 동안 11.4억 달러의 도난 자산이 해커에 의해 Tornado Cash로 이전되었으며, 이는 같은 기간 동안 모든 도난 자산의 약 60%에 해당합니다.

아래 그림과 같이, 미국의 암호 규제를 담당하는 "삼두마차"에서 SEC와 CFTC는 자산 속성을 규명(상품인지 증권인지?)하고, 각자 증권 또는 상품으로 간주하는 토큰에 대해 적절한 규제를 시행합니다. 반면, 미국 재무부 산하 기관은 더욱 다양하여, 국세청은 암호 거래의 세금 여부를 주로 살펴보고, FinCEN은 미국 내의 자금 세탁 및 테러 방지에 주목하며, OFAC는 해외 블랙리스트 기관이나 개인에 대한 금융 제재를 집행하는 주된 책임을 집니다. 이 세 기관 모두 장기적으로 체인 상 거래 데이터를 추적하고 분석하여 정확한 집행을 해야 합니다.

배경 2: 암호 자금 흐름의 규제 및 처벌이 전통 자금 흐름 규제와 동등한 위치에 놓이기 시작함

전 세계 자금 흐름이 점점 더 암호 프로토콜을 통해 이루어지는 배경 속에서, OFAC는 2021년에 가상 화폐 제재 준수 가이드라인을 담은 매뉴얼을 발표하여 OFAC 제재 준수 의무가 미국 시민의 가상 자산 보유자에게도 동일하게 적용된다고 설명했습니다.

미국인이 제재된 암호 자산을 보유하고 있다고 생각할 경우, 10일 이내에 OFAC에 보고해야 합니다.

암호 자산 산업의 구성원들은 제재된 거래에 직접적 또는 간접적으로 참여하지 않도록 책임이 있으며, 예를 들어 제재된 개인이나 재산과 거래하거나 금지된 무역 또는 투자 관련 거래에 관여하는 것을 피해야 합니다. OFAC는 준수하지 않은 행위에 대해 민사 처벌을 시행할 권한이 있습니다.

배경 3: 암호 거래에서의 프라이버시 강화 기술에 대한 처벌은 이미 여러 차례 발생했으며, 프라이버시 기술에 대한 규제는 지속될 것으로 예상됨

현재 범죄자들이 프라이버시 강화 기술을 사용하거나 불투명한 블록체인에서 작업하는 추세가 증가하고 있습니다. 이러한 프라이버시 강화 자산이나 상업 서비스(믹서)는 범죄자들이 자금의 흐름과 출처를 숨기는 데 도움을 줍니다.

프라이버시 강화 기술은 불법 수익을 추적하려는 조사자들에게 도전을 제공합니다. OFAC는 모네로 체인 Monero가 다음과 같은 기술을 사용한다고 지적했습니다:

1. 거래 발신자의 신원을 숨기기 위한 링 서명 기술;

2. 거래 금액을 은폐하기 위한 링 비밀 기술;

3. 수취인의 신원을 숨기기 위한 숨겨진 주소 기술.

또한 이러한 거래는 모네로 블록체인에 방송되지 않고, 일회성 생성 주소를 사용하여 은폐됩니다.

예를 들어,

• 2020년 말, FinCEN은 믹서 Helix의 창립자 Larry Harmon에게 6000만 달러의 벌금을 부과했습니다. 그 이유는 합법적으로 등록하지 않았고, 다크웹의 마약 자금을 암호화폐로 전환하는 데 도움을 주었기 때문입니다.

• 2021년 말, OFAC는 FBI와 협력하여 SUEX라는 이름의 암호 거래소에 대한 제한 조치를 발표했습니다. 이 거래소는 고의적으로 "불법 활동을 용이하게 했다"고 주장하며 믹서에 대한 규제를 강화할 것이라고 밝혔습니다.

• 올해 5월, OFAC는 또 다른 암호화폐 믹서 서비스 Blender.io에 제재를 가했습니다. 그 이유는 이 서비스가 Lazarus의 2000만 달러 이상을 세탁하는 데 도움을 주었기 때문입니다. OFAC 대변인은 이번 믹서에 대한 규제가 마지막이 아닐 것이라고 밝혔습니다.

실제로, TORNADO.CASH는 올해 4월에 Chainanalysis의 오라클 프로토콜을 이용해 OFAC 제재 주소가 해당 플랫폼에 접근하지 못하도록 하겠다고 트윗했습니다. 그러나 Tornado Cash의 공동 창립자 Roman Semenov는 인터뷰에서 탈중앙화 프로토콜의 설계 방식 때문에 탈중앙화 프로토콜에 대한 제재는 "기술적으로 불가능하다"고 밝혔습니다. Tornado는 스마트 계약 배포 + 제로 지식 증명 기술을 사용하고 있기 때문입니다. Github이 차단되더라도 스마트 계약은 여전히 이더리움에서 실행되며, 계약 코드 자체는 이더리움 브라우저에서 공개되어 있습니다.
?️ Tornado.cash ?️ @TornadoCash Tornado Cash uses @chainalysis oracle contract to block OFAC sanctioned addresses from accessing the dapp. Maintaining financial privacy is essential to preserving our freedom, however, it should not come at the cost of non-compliance.Chainalysis: Sanctions Oracle | Address 0x40c57923924b5c5c5455c48d93317139addac8fb | EtherscanThe Contract Address 0x40c57923924b5c5c5455c48d93317139addac8fb page allows users to view the source code, transactions, balances, and analytics for the contract address. Users can also interact and make transactions to the contract directly on Etherscan.etherscan.io
April 15th 2022 209 Retweets782 Likes

결론:

미국 금융 시스템의 다중 규제라는 큰 배경 속에서, 규제 기관들은 각자의 역할을 수행하며, 입법 및 집행 과정에서 암호 산업과 관련된 부분은 종종 산업에 대한 과도한 해석을 초래합니다.

OFAC는 탈중앙화 스마트 계약이 특정 측면에서 통제할 수 없는 기술적 배경을 모를 리 없지만, OFAC의 집행 요구와 Lazarus가 현재 암호 생태계에 미치는 파괴적 상황을 고려할 때, 상대적으로 극단적인 조치를 취하는 것도 어쩔 수 없는 선택일 것입니다. 이후 프라이버시 분야에 대한 영향은 지속적으로 관찰해야 할 필요가 있습니다.