[블록미디어] 비트파이넥스 해킹 사고 후 발행한 레오 코인 가격을 추가하였습니다.
비트파이넥스 36억달러 해킹한 부부…500달러에 꼬리잡히다
[블록미디어 James Jung 기자] 비트파이넥스를 해킹한 부부 사건은 한 편의 영화다. 인터넷 해커, 암호화폐가 등장하고, 첨단 과학 수사 기법이 나온다.
그런데 범인 검거는 사소한 단서가 결정적이었다. 이 사건에서는 500 달러 짜리 월마트 기프트 카드였다. 압수 당한 비트코인은 36억 달러에 달한다.
범죄 영화의 전형이다. 수사 당국에 수색 영장을 내준 판사는 유명한 영화 대사를 인용했다. “임마, 이게 바로 미래의 물결이야. 백 프로 전자 기술이지.”(‘위대한 레보스키’ 감독: 코헨 형제)
비트파이넥스는 2016년 해킹 피해를 당한 후 Unus Sed Leo 코인을 발행했다. 2019년에 나온 이 코인은 해킹 자금을 회수하면 80%를 환매하거나, 소각하도록 돼 있다.(Unus Sed Leo는 이솝 우화에 나오는 ‘한 마리지만 사자야’라는 뜻) 범인 검거 소식에 레오 코인 가격은 5 달에서 8 달러로 급등하기도 했다.
# 2022년 보니 앤 클라이드 : 일리야 리히텐슈타인과 헤더 모건
범인 일리야 리히텐슈티인과 헤더 모건 부부는 겉으로는 스타트업 창업가와 래퍼였다. 일리야는 러시아에서 태어났다. 6살 때 종교적 이유로 가족이 모두 미국으로 이주했다.
헤더는 북 캘리포니아 출신이다. 포브스에 보안 전문가로서 칼럼을 쓰기도 했다. 래퍼이면서 디자이너였다.
2016년 두 사람은 샌프란시스코에서 만난 것으로 추정된다. 홍콩 소재 암호화폐 거래소 비트파이넥스를 해킹한 것도 이 때다.
# 해킹과 돈세탁
비트파이넥스는 2016년 8월 당시 가격으로 7100만 달러 상장의 비트코인을 탈취 당한다. 2000 번의 불법적인 트랜잭션으로 비트코인이 빠져나간 것. 수 개 월 동안 훔친 코인들은 동면 상태에 들어간다.
2017년 1월부터 알파베이를 거쳐 복잡한 방법으로 자금 세탁이 진행된다.
알파베이는 익명성 다크웹으로 돈 세탁에 주로 쓰였다. 이 과정에 수 백 차례의 모네로(XMR) 거래가 개입한다. 모네로는 대표적인 익명 코인이다.
2017년 7월 미국 사법 당국은 알파베이를 폐쇄했다.
# 실명확인 무시하기
알파베이를 통해 1차 돈세탁을 한 비트코인은 다른 암호화폐 거래소로 분산 예치된다. 일리야는 해킹한 아이디와 이메일로 암호화폐 거래소 계좌를 만들었다.
이때 일부 거래소는 고객실명확인(KYC) 절차를 지키지 않았다. KYC를 지킨 다른 거래소들은 부부에게 실명 인증을 요구했으나 응답이 못하자 계좌를 폐쇄했다. 이렇게 묶인 돈만 30만 달러다.
일리야는 자기 이름으로 개설한 암호화폐 거래소로 훔친 코인을 보내 현금화했다. 이 현금은 은행 계좌로 보냈다. 스타트업 초기 투자를 받았다고 했다. 거래처에서 서비스 대금으로 받은 것이라고 했다.
# 우크라이나 여행
2017년 부부는 뉴욕으로 왔다. 남편은 스타트업 창업가 행세를 했다. 아내 모건은 랩 뮤직에 꽂혔다. 스스로 ‘월가의 악어(Crocodile of Wall Street)’라고 했다.
“비밀번호를 피싱했네. 돈을 몽땅 털렸지.(spear phish your password/all your funds transferred)”라는 가사도 썼다.
2019년 부부는 우크라이나 여행을 했다. 일리야는 이중 국적자였다. 우크라이나 커넥션을 통해 가짜 신분증을 만들기도 했다. 우크라이나로 이주할 계획을 세우기도 했다.
# 꼬리가 잡히다
미국 사법당국은 비트코인의 복잡한 트랜잭션을 분석했다. 수색 영장을 내준 판사가 말한 것처럼 100% 컴퓨터 분석 기법이 동원됐다. 송금 패턴을 찾아서 관련 계좌를 한 묶음으로 조사했다.(클러스터) 주시하고 있던 클러스터 36B6mu에 이상 징후가 포착됐다.
2020년 3월 3일 36B6mu에서 비트코인 일부가 한 거래소로 갔다. 이 거래소는 기프트 카드를 팔고 있었다.(비트코인닷컴도 기프트 카드를 취급한다. 기소장에 거래소 이름은 등장하지 않는다) 비트코인을 월마트 키프트 카드 500 달러로 바꾼 것.
월마트는 기프트 카드를 러시아 소재 이메일로 보냈다. 일리야는 뉴욕의 클라우드 서비스 업체의 IP를 통해 해당 이메일을 쓰고 있었다. 수사 당국은 클라우드 업체를 수색해서 해당 이메일이 일리야의 것임을 특정했다.
# 월마트 500 달러 기프트 카드가 36억 달러 해커를 찾아냈다
이 기프트 카드는 월마트 전화 앱을 통해 사용됐다. 세 차례 온라인 구매에도 쓰였다. 우버, 호텔스닷컴, 플레이스테이션도 등장한다. 이때 모건 이름으로 된 이메일이 사용됐다. 온라인 구매 물품이 부부의 아파트 주소로 배달됐다.
사법당국은 클러스터의 활동은 계속 추적했지만, 이 계좌들이 누구의 것인지 특정할 수 없었다. 월마트 기프트 카드가 실마리가 된 것이다.
# “고양이를 가져가도 되나요?”
클라우드 서비스 회사는 절차에 따라 지난해 11월 일리야에게 “당신 계좌 정보가 조사 대상”이라고 고지했다. 부부는 지난해 11월 정식으로 결혼식을 올렸다.
조사관들이 부부의 아파트를 수색할 때 두 사람은 집 밖으로 나가겠다고 했다. 일리야는 “고양이를 가져가도 되나요?”라고 물었다. 모건은 핸드폰을 락업하려했다.
사법당국은 압수한 파일을 통해 36억 달러가 들어 있는 거래소 계좌(1CGA4s) 등을 확보하고 동결 조치를 내렸다.
아내 모건은 300만 달러 보석을 내고, 풀려난 상태에서 재판을 받고 있다. 남편은 보석이 허가되지 않았다.
같이 보면 좋은 기사