• 프린트
  • 메일
  • 스크랩
  • 글자크기
  • 크게
  • 작게

[단독] 포블게이트, 현금 탈취 논란…자금 세탁에 '토네이도캐시' 활용②

토네이도캐시로 세탁 후 개인지갑과 국내외 거래소로 전송…다수 이상거래 수법 동일

조규희 기자 | ckh@newsprime.co.kr | 2021.11.16 19:14:13
[프라임경제] 지난해 11월22일 새벽. 접근 권한이 없던 누군가에 의해 포블게이트 EG코인 재단 계정에서 MO코인 1094만개가 매수됐다. 계정에는 현금 13억3000여만원 대신 1094만개의 MO코인만 남았을 뿐이다. 유동성 공급 자금을 탈취당한 EG코인 재단은 유동성 공급 위기를 맞았고, 결국 상장폐지 됐다.
 
MO코인 매도로 13억3000여만원을 확보한 호주 국적자 A씨는 3시간 안에 거래소 내 비트코인과 이더리움을 닥치는 대로 매수했고, 그 중 일부를 개인지갑으로 출금했다. 불행 중 다행히 포블게이트의 거래중지 조치로 상당수 가상자산은 여전히 계좌에 남아있다. 

본 사건을 둘러싸고 호주 국적자 A씨, 포블게이트, 재단 대표인 B씨 간 법적 공방이 한창이다. △A씨는 포블게이트를 상대로 계정정지를 풀어달라는 민사소송을 제기했으며 △B씨는 API키 값을 무단 도용해 거래를 발생시킨 미상자를 형사고소 했다. 

B씨는 미상자와 A씨가 연관이 있으며, 의도적으로 EG코인 재단 계좌 탈취에 동참했을 것이라 의심한다. 포블게이트에서 이더리움이 전송된 A씨 소유 지갑에서 출발해 지갑 사이의 관계를 파악하고, 누가 관계돼 있는지 파악해본다. - 편집자 주

MO코인 1084만개를 매도해 13억3000여만원의 원화를 확보한 B씨는 포블게이트에서 비트코인 약 11개와 이더리움 약 1720개를 매수했다. 

이 중 포블게이트의 계좌 동결로 여전히 계정에 남아있는 893개의 이더리움과 11개의 비트코인을 제외한 827개의 이더리움을 개인지갑(이하 1번 지갑)으로 출금했다. 1번 지갑으로 이동된 이더리움 대다수는 입금 3시간 내에 모두 토네이도캐시로 전송됐다. 

토네이도캐시는 이더리움 세탁에 사용되는 대표적 플랫폼으로 영지식 증명(Zero-Knowledge Proof) 알고리즘을 이용해 입금자와 출금자의 연결고리를 익명화하는 자금세탁용 믹서 서비스다. 수신자와 목적지 주소 사이의 온체인 링크를 단절시켜 거래 프라이버시를 확보한다. 토네이도캐시에 들어간 이더리움은 무분별하게 섞이기 때문에 이론 상 더 이상 추적할 길이 없다.

국내 거래소에서 퇴출된 대표적 다크코인 지캐시(Zcash)와 동일한 사용방식이 적용돼 있다. 때문에 1번 지갑에서 토네이도캐시로 전송된 이더리움이 어디로 이동됐는지 경로가 파악되지 않았다.

◆플랫폼 이동 간 경유지로 활용된 2번 지갑…A씨 또 다른 지갑? 혹은 공모자의 것?

2번 지갑에서 발생한 첫 거래는 포블게이트에서 이더리움을 받은 거래고, 다음 거래는 토네이도캐시로 전송한 거래다. 거래소에서 코인을 받고 3시간 내에 거의 대부분의 코인을 토네이도캐시로 전송했다. 이후 한 동안 신규 거래가 없어 코인의 흐름은 미궁에 빠지는 모양새였으나 사건발생 4개월 뒤인 3월12일 새로운 거래가 일어났다.

A씨는 포블게이트로부터 받은 이더리움을 토네이도캐시로 보내 자금세탁을 했다. ⓒ 이더스캔


1번 지갑에서 다른 개인지갑(이하 2번 지갑)으로 0.665개의 이더리움 전송된 것. 초기에 포블게이트에서 입금 받은 이더리움 중 우수리에 해당되는 0.665개가 2번 지갑으로 전송됐다. 2번 지갑 분석 결과 △바이낸스에서 3만USDT를 전송받은 이력과 △토네이도 토큰 150개를 받은 이력이 있었다. 

이 코인들은 모두 MXC 거래소로 전송됐다. 거래소에서 타 거래소로 이동할 때 2번 지갑을 경유지로 활용한 셈이다. 물론 2번 지갑으로 전송된 이력을 사건 당시 코인으로 단정할 근거는 전혀 없다. 그러나 최소한 2번 지갑의 소유자가 A씨이거나 A씨와 관계된 인물이라는 점은 알 수 있다.

2번 지갑 거래 이력 대부분이 거래소 간 이동의 경유에 활용된 것이었는데, 유일하게 또 다른 개인 지갑(3번 지갑)에서 0.48이더를 받은 이력이 있었다. 3번 지갑 역시 거래이력이 많지는 않았다. 최초 거래는 포블게이트로부터 284이더를 송금 받은 이력이다. 

이를 두고 B씨는 "포블게이트에서 284이더의 송금 기록이 있던 19일 새벽 4시(한국시간 기준) EG재단 계좌에 이상거래가 발생했었다"며 "당시 NIB리서치와 마켓메이킹(유동성 공급) 업무 계약을 맺었던 때인데, 갑자기 매수벽을 한 번에 허물 정도의 큰 거래가 발생돼 손실이 났었다는 보고를 받았다"고 기억했다.

그는 "3번 지갑에 송금된 이더리움 개수는 이상거래로 손해를 본 원화 수준의 이더리움 수량"이라고 전했다. B씨는 이상거래가 MM업무 계약을 맺었던 NIB리서치의 자작극이라 의심하고 있었으며, 3번 지갑이 해당 수익을 입금한 계좌일 것으로 추정했다.

포블게이트에서 416이더를 입금한 4번 지갑 역시 같은 방식으로 토네이도캐시로 이더리움을 전송했다. ⓒ 이더스캔


이 와 비슷한 이력이 또 다른 지갑에서도 발견됐다. 2번 지갑으로 입금한 이력이 있고, 3번 지갑으로부터 송금 받은 이력이 있는 4번 지갑에서 포블게이트로부터 받은 이더리움은 총 416개.

이 때 역시 토네이도캐시로 이동이 확인된다. B씨는 "해당 거래가 발생한 시점에도 재단 계좌에 이상거래가 발생했고, 이 때문에 NIB리서치와 MM계약을 해지했다"고 주장한다.

◆"자금세탁 수법 동일, 포블게이트 차명 계좌에서 송금됐을 것"

B씨는 포블게이트로부터 이더리움이 두 지갑으로 전송된 시점이 EG재단 계정에 이상거래가 발생했을 당시라는 점에 주목한다.

그는 "NIB리서치 관계자 혹은 그들과 결탁한 누군가가 계획적으로 EG재단 계정 내 원화를 탈취한 것으로 의심된다"라며 "다수 이상거래 시 포블게이트에서 입금된 코인의 자금세탁 방식 또한 동일하다는 점에 비춰 NIB리서치와 A씨는 관련이 있을 것"이라고 의혹을 제기했다.

그는 "경찰 조사 시 해당 이상거래에 이용된 계정주가 50대 C모씨였다고 들었다"며 "이는 NIB에서 확보한 차명계좌일 것"이라고 전했다. 이어서 "3번과 4번 지갑의 실소유주는 이상거래를 일으킨 것으로 추정되는 NIB리서치 쪽 관계자일 것"이라고 주장했다.

이어서 "각 지갑 간 관계는 논외로 하더라도 A씨가 초기에 포블게이트로 보낸 내용증명 주소지가 NIB리서치의 주소지와 같고, 둘 다 법무법인 비트에 법률 대리를 맡긴 점 역시 둘 사이 관계를 의심할 근거"라는 의견을 제시했다.

각 지갑 사이의 관계와 B씨의 주장을 종합해 보면 △EG코인 원화탈취 시 매매 거래를 했던 A씨의 개인지갑과 NIB리서치 MM 과정에서 탈취한 원화로 매입했을 것으로 추정되는 이더리움이 전송된 지갑이 연관성을 띄고 있으며 △모든 자금세탁에 공통적으로 토네이도캐시가 이용됐고 △A씨가 매도한 MO 코인 매수시 API키 값을 활용해 EG코인 계정에 접속했는데, NIB리서치가 API키 값을 알고 있었다는 사실을 알 수 있다.

A씨의 1번지갑에서 시작한 개인지갑 거래 현황. ⓒ 이더스캔

여러 사실 관계를 종합해 보면 A와 NIB리서치가 매우 밀접해 보이는 건 사실이다. 그렇다면 둘을 불러 확인해 보면 될 일이지만 그 과정이 쉽지 만은 않다. A와 NIB리서치 핵심 관계자는 호주에 머물고 있기 때문.

사건이 발생한 지 1년이 다 돼 가지만 형사 사건은 여전히 경찰 조사 단계에 머물러 있고, 민사 건은 이제 겨우 1차 변론을 마쳤다. 본 사건의 중심에 있는 A가 조사에 임할 상황도 못 돼 B는 발만 동동 구르는 형국이다.

한편, B씨는 "여러 정황 상 A씨와 NIB리서치가 관계가 있다는 점은 분명하다"며 "둘 간 관계가 입증되면 경찰에서 A씨를 피의자로 전환해 인터폴 수배를 내릴 수 있다고 한 만큼 최선을 다해 자료를 수집하고, 수사에 협조할 것"이라고 강조했다.


  • 이 기사를 공유해보세요  
  •  
  •  
  •  
  •    
맨 위로

ⓒ 프라임경제(http://www.newsprime.co.kr) 무단전재 및 재배포금지