국내 암호화폐 이용자 대상으로 자금세탁 서비스를 제공하는 다크웹 사이트가 발견됐다. 위협인텔리전스 전문 기업 NSHC(대표 허영일)는 암호화폐 사용자 대상으로 자금 세탁 서비스를 제공하는 사이트 두 곳이 다크웹에서 운영되고 있다고 밝혔다. 다크웹은 토르 등 특수한 웹브라우저를 사용해 접근하는 웹이다. 익명성 보장뿐만 아니라 IP주소 추적이 불가능해 해킹으로 얻은 개인정보, 살인 청부, 경쟁사 영업비밀 등 불법 정보가 거래된다.
NSHC CTI팀에서 확인한 암호화폐 자금세탁사이트는 '비트코인 믹서 2.0'와 '오메가믹스'다. 이들 사이트는 지난해 말부터 운영됐으며, 암호화폐 사용자의 자금 세탁을 도맡아 왔다. 한국어를 사용하며, 네이버·다음 등 국내 주요 포털 블로그 등을 통해 국내 사용자를 모았다. 암호화폐를 쓰는 한국인이 주요 고객이다.
비트코인 믹스 2.0이란 사이트는 북한 운영 가능성이 제기된다. 웹 서비스에 '오유' 등(오유는 오류 북한어) 북한어를 사용했다. 이들은 한국어 의사소통이 가능하다고 광고한다.
NSHC 관계자는 “실제 해당 사이트 운영자와 접촉 결과 자신을 북한 사람이라고 밝히고 있다”면서 “이미 많은 비트코인을 소유하고 있을 뿐만 아니라 지능형지속위협(APT), 랜섬웨어 공격으로 한국으로부터 많은 비트코인을 취득했다고 밝혔다”고 전했다. NSHC 분석 결과 두 사이트 운영자 시스템은 한국어 환경 윈도10 운용체계(OS)를 사용한다.
문제는 이들 암호화폐 자금세탁 사이트가 다크웹에서 발생하는 범죄 수익 등 자금 출처를 알지 못하게 한다는 점이다. 수사 기관의 추적을 피하고, 또 다른 범죄를 불러들일 가능성이 짙다. 실제 다크웹에서는 서비스형랜섬웨어(RaaS)뿐만 아니라 마약, 불법 동영상 등이 암호화폐로 거래되고 있다.
허영일 NSHC 대표는 “다크웹에서 한국인 대상으로 비트코인 세탁서비스가 밝혀진 것은 처음”이라면서 “국내 사이버 범죄자가 불법 범죄 행위에 해당 세탁서비스를 악용할 소지가 있어 대책 마련이 시급하다”고 강조했다.
정영일기자 jung01@etnews.com