매주 월요일, 주목할 만한 블록체인 프로젝트나 업계 트렌드를 알기 쉽게 풀어봅니다.
2300조원. 지난 3일 하루 동안의 전세계 가상자산 거래 규모입니다. 비트코인이 막 등장했던 2013년의 1000억원과 비교하면 고작 8년 만에 천문학적인 수준으로 성장한 모습입니다. 안타까운 건 시장에 돈과 사람이 몰리자 그들을 노린 사기 범죄도 나날이 증가하고 있다는 거죠. 오늘도 뺏으려는 자와 뺏기지 않으려는 자, 되찾으려는 자의 치열한 전쟁이 벌어지고 있는 가운데 이번 편에서는 주요 사기 유형 및 탈취당한 가상자산을 되찾는 방법 등을 살펴보겠습니다.
▲ 사진=게티이미지뱅크
▲ 사진=게티이미지뱅크

주요 가상자산 사기 유형
가상자산 사기 유형은 꽤 다양합니다. 널리 알려진 방식만 해도 약 7가지로 추려지는데요. ①다단계 ② 보이스피싱 ③이메일·문자 피싱 ④ 거래소 계정 해킹 ⑤암호화폐 지갑 키 유출 ⑥거래소 계정 해킹 ⑦가상자산 지갑 키 유출 등입니다.

다단계는 고수익을 약속하며 특정 가상자산을 매입하도록 하고, 다른 투자자를 끌어들이게 만드는 수법입니다. 초기에는 다른 투자자들의 자금으로 수익을 보전해주지만 조직이 커지면 일순간에 잠적해버려 피해가 큽니다. 주로 "OO코인을 얼마 구매해 스테이킹(예치) 해두면 수십 퍼센트 이상의 이자를 정기적으로 입금해주겠다"와 같은 방식으로 피해자들을 유인하는 만큼 두자릿수 이상의 터무니없는 이자율을 약속하는 경우 의심해야 합니다.

보이스피싱은 특정 거래소나 프로젝트의 고위 임원·내부자를 가장해 투자 정보를 제공하며 유인하는 경우, 피해자를 속인 뒤 현금 대신 가상자산 입금을 요구하는 경우 등이 있습니다. 세부 유형이 다양해 예방이 쉽지 않지만, 기본적으로 투자는 권유받기보다 자신이 직접 안전성을 검증한 대상을 대상으로 진행하는 것이 중요하고 입금이 강요될 경우 즉시 경찰에 신고하고 검거에 동조하는 것이 좋습니다.

이메일이나 문자를 통한 피싱, 거래소 계정 해킹, 암호화폐 지갑 키 유출도 그 경로는 다양합니다. 무엇보다 중요한 건 제3자가 소개하는 앱을 휴대폰이나 컴퓨터에 무턱대고 앱을 설치하지 않는 겁니다. 거래소 계정 정보나 가상자산 지갑의 비밀번호나 다름없는 개인키를 휴대폰에 저장해두는 것도 금물입니다. 해킹 앱일 경우 이 같은 정보들이 순식간에 유출될 수 있기 때문이죠.

또 일부 피싱 앱 중에는 가상자산 전송 주소를 입금 직전에 범죄 계좌로 바꿔치기 하는 경우도 있습니다. 가상자산 지갑 주소는 은행 계좌와 달리 숫자+문자열의 복잡한 구조라 이를 인지하기 쉽지 않기 때문에 최종 전송 전에는 반드시 입금 주소가 정확한지 확인해야 합니다.

가상자산 환수, 범인 계좌·신원 특정 후 거래소와 공조 필요
만약 예기치 않게 피해를 입었다면 경찰서 사이버팀에 신고하고 구제를 요청할 수 있습니다. 다만 가상자산 탈취 사고는 환수율이 높지 않다는 점을 감안해야 합니다. 은행계좌와 달리 기본적으로 익명성을 갖고 있기 때문인데요. 수년 전부터 여러 범죄 집단이 몸값으로 가상자산 지불을 요구하는 경우가 늘어난 까닭이기도 합니다.

다행인 건 지난 수년간 이에 대응하기 위한 기술·수사기법 개발 노력도 이어져 왔다는 거죠. 국내에서는 올해 보안기업 웁살라시큐리티가 경찰, 거래소와 공조해 두 건의 환수 사례를 만들어낸 바 있는데, 확인 결과 다음과 같은 절차로 이뤄진다고 합니다.

▲ 가상자산 피해 신고 및 환수 절차 (자료=웁살라시큐리티)
▲ 가상자산 피해 신고 및 환수 절차 (자료=웁살라시큐리티)

피해 구제 요청이 들어올 경우 먼저 △피해 일자 △가상자산명 △사용된 지갑 계좌 △사기가 발생한 트랜잭션(거래 기록) 등의 정보를 제공받아 추적 가능성을 검토합니다. 이어 데이터베이스 분석을 통해 범죄 계좌, 거래 내역에 대한 위험도를 측정한 뒤 탈취당한 가상자산의 거래 내역을 추적이 용이한 형태로 시각화하죠.

이를 통해 1차 추적보고서가 만들어지면 경찰이 나설 차례입니다. 수사 권한을 가진 경찰이 탈취한 가상자산이 흘러간 것으로 확인된 거래소에 피의자 신원 확인을 요청하면 거래소가 해당 계좌의 KYC(고객기본정보)를 경찰에 제공, 경찰은 이를 통해 피의자를 추적·검거합니다. 이후 피의자와 피해자의 합의 혹은 법적 공방을 통해 가상자산 환수가 이뤄집니다.

실제 환수율 낮아…개인의 세심한 확인 및 주의가 우선
그러나 앞서 언급했듯 환수에 성공하는 경우는 많지 않습니다. △가상자산이 흘러간 지갑 주소 추적 △해당 지갑의 KYC 확보가 핵심인데 KYC 확보가 까다로운 편입니다. KYC 수집은 보통 가상자산 거래소에 계정을 만들 때 진행되는 각종 본인인증 과정에서 이뤄지는데 이를 그나마 쉽게 확보할 수 있는 건 수사 공조가 용이한 국내 거래소입니다.

웁살라시큐리티 관계자는 "이 때문에 KYC 체계가 잘 갖춰지지 않은 해외 거래소는 범인 특정이 어렵고, KYC가 갖춰진 거래소라 할지라도 국내외 사법기관과 해외 거래소 간 공조 과정에서 물리적 한계가 발생한다"고 설명했습니다. 또 범죄자가 가상자산을 탈취 후 제3자의 접근이 불가능한 개인지갑에 보관할 경우에도 환수가 어렵다고 합니다. 즉, 피해 발생 후 빠른 신고로 범죄 계좌를 특정하고 범인이 환전을 위해 국내 거래소에 이를 전송하는 순간의 삼박자가 맞아 떨어져야한다는 거죠.

▲ 2020년 4월~2021년 9월 3일 사이 가상자산 피해 신고내역 (자료=웁살라시큐리티)
▲ 2020년 4월~2021년 9월 3일 사이 가상자산 피해 신고내역 (자료=웁살라시큐리티)

이처럼 과거와 달리 환수가 아예 불가능하진 않더라도 절차가 복잡하고 제약도 많으므로 현재까진 사기 피해를 입지 않도록 우선 투자자 개인의 세심한 관리와 주의가 필요한 상황입니다. 해외 거래소 이용을 가급적 지양하는 것도 한 방법으로 보입니다.

한편 금융위원회에 따르면 지난 5월 기준 국내 가상자산 투자자 수는 약 587만명에 달했습니다. 중복자를 보수적으로 잡아도 전국민의 약 5%가 가상자산 투자자라고 볼 수 있겠죠. 또 경찰은 올해 상반기 가상자산 관련 범죄 140건에서 487명을 검거했으며 총 피해금액만 해도 2조800억원에 이릅니다. 결코 적지 않은 수지만 이들을 위한 제도권 차원의 보호 대책 마련은 아직 요원합니다. 그러나 금융권 보이스피싱을 막기 위한 전방위적 노력처럼 적어도 공익 캠페인, 거래소 차원의 적극적인 홍보 및 구제 지원 노력은 병행될 필요가 있어 보입니다.

저작권자 © 블로터 무단전재 및 재배포 금지