<이미지 : 기사 위한 AI 영상>
역외 탈세의 온상이 가상자산 범죄 세탁 통로로... 규제 사각지대 악용
핵심 요약
- 업비트 445억원 해킹...6년 전 같은 날(11.27) 580억원 해킹과 동일 패턴
- 세이셸, 영국령 버진아일랜드 등 조세회피처 거래소가 세탁 통로로 활용
- 2019년 해킹 자금 중 스위스 4.8 BTC만 회수, 13개국 협력 거부
- 북한 해킹 조직, 2017~2023년 약 30억 달러 탈취
- 국내법상 해외 거래소 규제 권한 없어...국제 공조 한계
업비트 해킹 사건 경과
가상자산 거래소 '업비트' 해킹 일당이 훔친 코인을 더 확실히 세탁하기 위해 조세회피처에 본사를 둔 소형 거래소를 활용한 것으로 확인됐다. 역외 탈세의 온상인 조세회피처가 가상자산 범죄에도 등장한 것이다. 경찰과 블록체인 분석 전문업체들의 추적 결과, 탈취된 가상자산은 여러 차례의 환전과 분산 전송을 거친 후 자금세탁방지(AML) 규정이 느슨한 해외 소형 거래소로 흘러들어간 정황이 포착됐다. 특히 세이셸, 영국령 버진아일랜드 등 조세회피처에 등록된 거래소들이 세탁 통로로 활용된 것으로 분석된다. 지난 11월 27일 새벽, 국내 최대 가상자산 거래소 업비트에서 약 445억원 규모의 솔라나 계열 코인 24종이 탈취되는 사건이 발생했다. 해킹은 오전 4시 42분부터 5시 36분까지 불과 54분 만에 이뤄졌으며, 이 과정에서 1000억개가 넘는 코인이 외부로 빠져나갔다. 공교롭게도 이날은 정확히 6년 전인 2019년 11월 27일 업비트가 580억원 규모의 이더리움을 탈취당한 날과 같은 날이었다. 2019년 해킹은 5년간의 수사 끝에 북한 정찰총국 산하 해킹조직 '라자루스'와 '안다리엘'의 소행으로 확인됐다.| 구분 | 2019년 해킹 | 2025년 해킹 |
|---|---|---|
| 발생일 | 2019.11.27 | 2025.11.27 |
| 피해 규모 | 580억원(ETH 34.2만개) | 445억원(SOL 계열 24종) |
| 타깃 | 핫월렛 | 핫월렛 |
| 추정 배후 | 라자루스, 안다리엘(확정) | 라자루스(추정) |
| 현재 가치 | 약 1.5조원 | 약 445억원 |
조세회피처 거래소, 자금세탁의 핵심 통로
해킹 자금의 세탁 경로를 추적한 결과, 탈취된 코인은 여러 단계의 '계층화(layering)' 과정을 거쳤다. 우선 솔라나 계열 토큰에서 솔라나(SOL)로, 다시 USD코인(USDC)과 테더(USDT)를 거쳐 최종적으로 이더리움(ETH)이나 비트코인(BTC)으로 환전됐다. 이 과정에서 탈중앙화 거래소(DEX)인 올브릿지, 카이버스왑, CoW 프로토콜 등이 활용됐으며, 일부 자금은 프라이버시 프로토콜 '레일건'을 통해 익명화됐다.조세회피처 거래소가 악용되는 이유
- 자금세탁방지(AML) 규정이 느슨하거나 부재
- 고객확인제도(KYC) 절차가 형식적
- 국제 수사 공조에 비협조적
- 법인 설립이 용이하고 익명성 보장
- 금융당국의 감독 범위 밖
해킹 조직이 솔라나 기반 자산을 선호하는 이유는 빠른 전송 속도와 낮은 수수료 때문에 세탁이 용이하기 때문입니다. 글로벌 대형 거래소들이 AML 규정을 강화하면서, 해커들은 규제 사각지대인 소형 거래소로 눈을 돌리고 있습니다.
- 가상자산 보안 전문가
2019년 해킹 자금 세탁 경로
2019년 해킹 사건의 자금 흐름을 보면 조세회피처 거래소 활용 패턴이 더욱 명확하게 드러난다. 경찰 수사 결과, 북한은 탈취한 이더리움 34만2000개 중 57%를 자체 개설한 것으로 추정되는 암호화폐 교환 사이트 3곳을 통해 시세보다 2.5% 낮은 가격에 비트코인으로 환전했다. 나머지 43%는 중국, 미국, 홍콩, 스위스 등 13개국 51개 거래소로 분산 전송됐다. 이 중 상당수가 규제가 느슨한 소형 거래소였던 것으로 파악된다.| 세탁 경로 | 비율 | 특징 |
|---|---|---|
| 북한 자체 교환소 | 57% | 시세 2.5% 할인 거래 |
| 해외 51개 거래소 | 43% | 13개국 분산 세탁 |
| 회수된 자산 | 4.8 BTC | 스위스 공조로 환수 |
규제 사각지대와 국제 공조의 한계
문제는 조세회피처에 등록된 거래소에 대해 국내 금융당국이 직접적인 규제 권한을 행사할 수 없다는 점이다. 금융당국은 국내 미신고 가상자산사업자와의 거래를 금지하고 있지만, 해외 거래소에는 동일한 규제를 적용할 법적 근거가 없다. 실제로 캄보디아의 '후이원 개런티' 거래소가 북한 라자루스 조직의 자금세탁처로 활용된 정황이 포착됐으며, 국내 5대 거래소와 후이원 간 가상자산 유출입 규모가 128억원에 달하는 것으로 확인됐다.국제 공조의 한계
2019년 업비트 해킹 자금 중 스위스에 보관된 4.8 BTC만 4년간의 공조 끝에 환수됐다. 나머지 13개국 거래소들은 협력을 거부하고 있어 대부분의 자금 회수가 사실상 불가능한 상황이다.
북한의 가상자산 해킹 실태
북한 해킹 조직의 가상자산 탈취 규모는 해마다 급증하고 있다. 블록체인 분석업체 TRM에 따르면, 북한은 2017년부터 2023년까지 약 30억 달러를 탈취했으며, 2024년 한 해에만 8억 달러를 훔쳤다. 올해 2월에는 두바이 소재 거래소 바이비트에서 15억 달러(약 2.1조원)를 탈취하며 역대 최대 규모의 해킹을 기록했다. 이는 2024년 전체 해킹 총액의 두 배에 달하는 규모다.| 기간 | 탈취 규모 | 주요 사건 |
|---|---|---|
| 2017-2023년 | 약 30억 달러 | 업비트, 와지르X 등 |
| 2024년 | 약 8억 달러 | 라디언트 캐피털 등 |
| 2025년 2월 | 15억 달러 | 바이비트 해킹 |
| 2025년 11월 | 445억원 | 업비트 해킹 |
북한의 가상자산 보유량
현재 북한의 비트코인 보유량은 미국, 영국에 이어 세계 3위로 추정된다. 유엔은 북한이 대량살상무기 개발 비용의 40%가량을 가상자산 해킹으로 충당하고 있다고 발표했다.
대응 방안과 전망
금융당국과 가상자산업계는 범죄자금 세탁 차단을 위한 공조를 강화하고 있다. 금융정보분석원(FIU)과 국내 5대 거래소는 지난 5일 협의회를 열고, 동남아 범죄조직의 자금세탁 대응 방안을 논의했다. 업계는 범죄 연루 의심 계좌에 대한 정밀 분석을 거쳐 의심거래보고서(STR)를 FIU에 제출하고, 고위험 거래에 대해서는 자금출처와 거래 목적을 추가 확인하기로 했다. 또한 후이원 거래소 등 고위험 해외 거래소와의 입출금을 전면 차단하는 조치도 시행 중이다. 업비트는 자체 개발한 온체인 자동 추적 시스템(OTS)을 활용해 외부로 이동한 자산의 경로를 실시간 분석하고 있으며, 피해 자산 회수에 기여한 개인이나 단체에 최종 회수액의 10%를 보상금으로 지급할 계획이다.
가상자산을 활용한 자금세탁 기법이 첨단화되고 있어 국내 업계의 자체 모니터링 역량 제고는 물론 글로벌 AML 공조체계가 필요합니다.
- 윤영은 FIU 제도운영기획관
투자자 보호의 사각지대
현행법상 가상자산사업자의 해킹 사고에 대해 직접 제재하거나 배상을 강제할 수 있는 조항이 없다는 점도 문제로 지적된다. 전자금융거래법은 금융기관의 무과실 책임을 인정하지만, 적용 대상에 가상자산사업자는 포함되지 않는다. 2024년 7월 시행된 가상자산이용자보호법(1단계법)도 이용자 보호 중심으로 구성돼 있어 해킹 및 전산 사고에 대한 제재 규정을 다루고 있지 않다. 이 때문에 금감원이 업비트를 현장 점검 중이지만 현실적으로 중징계로 이어지기 어렵다는 관측이 나온다. 다행히 업비트는 해킹 피해 자산 386억원 전액을 자체 자산으로 충당해 이용자 피해를 방지했다고 밝혔으며, 6일 모든 가상자산의 입출금을 재개했다.가상자산 투자자 유의사항
- 이용 거래소가 금융정보분석원(FIU)에 신고된 사업자인지 확인
- 미신고 해외 거래소는 해킹, 개인정보 유출 위험 높음
- 장기 보관 자산은 콜드월렛 활용 권장
- 거래소별 보안 인증(ISMS) 취득 여부 확인
- 의심스러운 입출금 요청에 주의
