中 ‘형사기술’에 논문 게재
수사당국의 추적 과정 담겨
첫발은 ‘니모닉 문구’ 확인
수수료 역추적해 정보 요청
개인키 교체해 통제권 확보
중국 공안이 암호화폐를 추적하고 압수·동결하는 방법을 상세히 담은 기술 보고서가 발표됐다.
2일 사우스차이나모닝포스트(SCMP)에 따르면 원저우시 공안국의 쑨성빈, 저장성 공안청 형사수사총대의 러우옌디 등 현직 공안인 저자들은 지난달 4일 중국 학술지 ‘형사기술’에 이 같은 내용의 논문을 게재했다. 논문에는 증거 수집부터 거래 추적, 자산 압수·동결에 이르기까지 중국 수사당국이 불법 가상자산을 쫓는 과정이 상세히 담겼다.
중국 정부는 2021년 암호화폐의 화폐로서 사용을 금지했고, 올해 초에는 스테이블코인과 실물자산 토큰화(RWA)까지 단속 범위를 넓혔다. 하지만 암호화폐는 여전히 사기, 도박, 자금세탁 범죄에 자주 활용된다. 거래 과정에서 신원을 숨기기 쉽고 중앙 당국 승인 없이 자금을 옮길 수 있어서다.
1단계 : 수사의 출발은 ‘지갑 열쇠’ 찾기
수사의 출발점은 ‘지갑 열쇠’ 찾기다. 비트코인·이더리움 등 모든 암호화폐 지갑에는 ‘개인 키’가 들어 있다. 은행 계좌의 비밀번호에 해당하는 것으로, 이 키를 손에 넣은 사람이 지갑 속 자산 전체를 마음대로 옮길 수 있다.
문제는 개인 키가 64자리에 달하는 무작위 문자열이어서 사실상 외울 수 없다는 점이다. 그래서 이용자들은 대신 ‘니모닉 문구’를 보관한다. ‘사과 강아지 강 하늘’처럼 흔한 영어 단어 12~24개를 나열한 일종의 복구 암호로, 이것만 있으면 개인 키 전체를 되살릴 수 있다.
많은 이용자가 이 문구를 휴대전화 메모, 위챗 메시지, 컴퓨터의 텍스트 파일에 저장해 둔다. 이 때문에 수사기관이 용의자의 기기를 압수하면 가장 먼저 하는 일이 개인 키나 니모닉 문구의 흔적을 샅샅이 뒤지는 것이다.
작업은 세 단계로 자동화돼 있다. 먼저 전용 소프트웨어로 기기 전체 저장공간을 스캔한 뒤, ‘영어 단어 12개가 연속으로 나열된 경우’ 같은 규칙으로 후보를 추린다. 마지막으로 전용 스크립트 검증을 통해 무의미한 문자열이나 관련 없는 문구를 걸러낸다.
이 과정에서 모바일 기기의 경우 중국 디지털 포렌식 기업 ‘핑항’ 등 전용 소프트웨어가 메시지 앱이나 메모에 숨어 있는 니모닉 문구와 주소를 잘 찾아낼 수 있고, 중국 사이버 보안 전문 기업 ‘메이야피코’ 등의 플랫폼이 이미지에서 텍스트를 추출하는 기능을 갖춰 사진첩에 숨겨진 스크린샷 속 단서까지 확보할 수 있다고 SCMP는 덧붙였다.
2단계 : 돈의 ‘이동 경로’를 찾아라
지갑의 구조가 더 복잡한 경우도 있다. USB처럼 작은 형태로 개인키를 실제로 보관하는 오프라인 장치 ‘콜드월렛’과 모바일에서 잔액만 보여주는 ‘워치월렛’이 분리된 방식이다. 워치월렛을 통해 송금을 하기 위해서는 콜드월렛의 오프라인 서명이 필요하다.
이 때문에 현장에서 워치월렛만 발견되면 수사기관은 실제 송금 권한이 담긴 콜드월렛을 추가로 찾아야 한다.
하지만 기기에서 이를 찾지 못하더라도 수사가 끝나는 것은 아니다. 자금 흐름과 신원 단서를 분석해 자금의 경로를 추적하면 된다. 범죄자들이 여러 가상화폐로 자금을 옮기며 흔적을 흐리더라도 거래 기록을 따라가며 최종 목적지를 좁혀가는 방식이다.
다만 이 과정은 일반 은행 계좌 추적보다 훨씬 복잡하다. 스마트계약을 이용한 토큰 교환, 서로 다른 체인 간 이동(크로스체인), 권한 위임 등이 자금 흐름을 복잡하게 뒤섞어 추적을 따돌리기 때문이다.
논문은 이에 대응하는 몇 가지 수사 기법들을 소개했다. 우선 거래 때마다 발생하는 수수료의 흐름을 역추적하면 자금이 어느 거래소와 연결되는지 찾을 수 있고, 이를 근거로 거래소에 이용자 정보를 요청할 수 있다.
범죄자가 비트코인에서 이더리움으로 옮기는 식으로 여러 블록체인을 오간 경우에도 각 거래 기록을 이어 붙이면 마치 노선도를 읽듯 자금의 이동 경로를 복원할 수 있다고 논문은 설명했다.
여러 사람의 코인을 한데 섞어 추적을 어렵게 만드는 ‘믹서’ 방식도 예외는 아니다. 같은 지갑에 딸린 여러 하위 주소의 거래 시각과 금액을 맞춰 보면 최종적으로 돈이 빠져나간 지점을 짚어낼 수 있다는 것이다.
또 정식 법적 절차를 거치면 바이낸스, OKX, HTX 등 주요 거래소의 고객확인(KYC) 기록도 확보할 수 있다.
3단계 : 마지막은 압수…“내부 통제도 필수”
자금 위치를 확인한 뒤에는 압수, 동결 단계로 넘어간다. 가장 직접적인 방식은 ‘개인 키 교체’다. 범죄 수익으로 의심되는 암호화폐를 경찰이 통제하는 다중서명 지갑, 즉 여러 명이 함께 승인해야 열리는 지갑으로 옮긴 뒤 새 키를 만드는 방식이다. 사실상 지갑 통제권 자체를 수사기관 쪽으로 넘기는 셈이다.
거래소에 보관된 자산은 계정 동결 방식으로 묶을 수 있다. 이 경우 경찰은 관련 계정을 6개월간 동결할 수 있고, 필요하면 기간을 연장할 수도 있다.
다만 논문은 수사기관 내부 통제도 함께 강조했다. 수사관 개인이 개인키를 직접 보관해서는 안 되고, 사건 처리와 자산 보관을 분리하는 원칙을 지켜야 한다는 것이다. 자산 이동과 보관 과정 전반에 대해 감독 체계를 두고, 인수인계와 증거보전 기록도 명확히 남겨야 한다고 논문은 설명했다.





!["신입 연봉이 어떻게 나보다"…분노한 5년차 대리, 결국 [도쿄나우]](https://img.hankyung.com/photo/202607/99.25580139.1.jpg)





![[속보] 北, 韓·EU성명에 “체제존중 위장 내던져…韓 적대 원칙 불변”](https://pimg.mk.co.kr/news/cms/202606/13/news-p.v1.20260613.89255ddca2b0487c98e7f979e85a8a39_R.jpg)





English (US) ·