FBI는 어떻게 미국 송유관 해커의 비트코인을 회수했나

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/649124 (2021.6.8)

미 송유관회사가 해커에 뜯긴 거액 비트코인, FBI가 찾아왔다(종합)

오늘(6월 8일)자 연합뉴스 기사다. 주요 내용을 일부 가져와 보면 아래와 같다.


로이터통신에 따르면 미국 법무부는 7일(현지시간) 송유관 회사 '콜로니얼 파이프라인'(이하 콜로니얼)이 해킹세력 다크사이드 쪽에 내준 '몸값' 중 63.7비트코인을 회수했다고 밝혔다. 현재 미화로 230만 달러(한화 25억원)에 달한다.

콜로니얼이 뜯긴 건 75비트코인이었으며 당시엔 비트코인 가치가 더 높아 440만 달러(49억원) 어치에 달했다고 워싱턴포스트(WP)는 전했다.
...
WP는 법무부에 신설된 태스크포스(TF)가 그런 식으로 지급된 돈을 되찾아온 건 처음이라고 전했다. 이어 사이버 공격 사건이 계속되는 와중에 주목할 만한 이정표라고 평했다.

회수 작전은 연방수사국(FBI)이 콜로니얼의 협조를 받아 주도했다고 CNN방송은 복수의 소식통을 인용해 전했다.
...
WP는 전문가를 인용, 몸값의 85%는 다크사이드에서 랜섬웨어를 제공받아 해킹을 감행한 연계조직이 갖고 가는데 이번에 회수된 63.7비트코인은 그 85%에 해당하는 것이라고 전했다. 나머지 15%는 다크사이드의 몫이라는 것이다.
...


얼마전에 미국 송유관 회사가 랜섬웨어의 공격을 받고 해킹조직에게 지불했던 비트코인중 일부(63.7BTC)를 FBI에서 회수했다는 내용이다.

그렇다면 FBI는 해킹조직을 역으로 해킹했거나 비트코인의 익명성 자체를 기술적으로 무력화할 수 있는 능력을 갖춘 것일까?

그런것 같지는 않다. 미국 법무부에 게시되어 있는 압수영장을 보자. 아래의 링크다.

Warrant to seize property subject to forfeiture
https://www.justice.gov/opa/press-release/file/1402051/download

이 영장의 주요 내용을 다시 적어 보자면 아래와 같다.


An application by a federal law enforcement officer or an attorney for the government requests that certain property located in the Northern Distict of California be seized as being subject to forfeiture to the United States of America. The property is described as follows:
Approximately 63.7 BTC (the "Subject Funds") accessible from the following cryptocurrency address (the "Subject Address") XXXXXXXXXXXX950klpjcawuy4uj39ym43hs6cfsegq


연방 사법요원 또는 검사가 북부 캘리포니아(Northern District of California)에 위치한 곳에서 약 63.7BTC에 달하는 암호화폐를 압수한다는 내용이다. FBI는 이 영장을 들고 캘리포니아의 모처에서 비트코인을 회수한 것으로 보인다.

그렇다면 저 장소는 어디일까? 물리적 장소를 특정할 수 있는 비트코인 주소가 있고, 비트코인만 회수되었을 뿐 범인을 검거했다는 얘기는 없다. 십중팔구 암호화폐 거래소인 것으로 추정된다. 캐리포니아에 위치한 대표적인 거래소는 코인베이스(Coinbase), 크라켄(Kraken) 등이다.

즉, FBI는 뭔가 우리가 모르는 엄청난 IT 역량을 발휘해서 비트코인의 익명성을 무력화한 것이 아니라, 그냥 블럭체인에서 거래내역을 추적하여 문제의 자금이 자국내의 거래소에 있는 것을 확인하고 압수영장을 발부받아 회수한 것으로 추정된다.

러시아 해커조직 "다크사이드"는 랜섬웨어를 팔아서 돈을 버는 목적일테니까 15% 수수료를 가져갔다. 이 비트코인은 회수되지 않았다.

다크사이드로부터 랜섬웨어를 구입해서 공격을 감행하고 나머지 85%의 비트코인을 입수한 개인 또는 조직이 사실상 이 사건의 주범인데, 뭔가 많이 이상하다. 처음부터 이 비트코인을 가져갈 생각이 없었던 것이 아닌가 싶을 정도다.

미국의 최대의 송유관 회사를 공격해서 받아낸 비트코인을 다른 나라도 아니고 미국의 거래소에, 게다가 분할하지도 않고 하나의 비트코인 주소에 한꺼번에 모아둔다?

편리해도 이렇게 편리할 수가 있나?