크로스 체인 브리지 Multichain이 잡힌 사건을 시작으로: 크로스 체인 프로젝트를 할 때 주의해야 할 법적 위험은 무엇인가?

저자：리우홍린, 김감지

출처：PANews

화인 크로스체인 브릿지 프로젝트 Multichain은 범죄와 관련되어 CEO 등 여러 사람이 중국 경찰에 의해 조사받고, 하룻밤 사이에 토큰이 폭락했다. 서로 다른 블록체인 간의 가치 상호 통신을 해결하기 위한 크로스체인 기술이 중국에서 정말로 창업할 수 없는 것일까?

창립자가 체포되고, 프로젝트가 운영 중단

2023년 5월 21일, 유명한 크로스체인 프로젝트 Multichain의 CEO 자오쥔이 국내 경찰에 의해 자택에서 체포되었고, 글로벌 Multichain 팀과의 연락이 끊겼다. 팀은 MPC 노드 운영자와 연락을 취했고, 그들은 MPC 노드 서버의 운영 접근 키가 철회되었다는 사실을 알게 되었다.

이후, 특별 수사팀은 자오쥔의 가족과 연락을 취했고, 자오쥔의 모든 컴퓨터, 휴대폰, 하드웨어 지갑 및 니모닉이 압수되었다는 사실을 알게 되었다. 프로젝트 시작 이후, 모든 운영 자금과 투자자의 투자는 자오쥔이 관리하고 있었다.

6월 4일, 자오쥔의 가족은 클라우드 서버 플랫폼의 가정용 컴퓨터에 성공적으로 로그인하였고, Multichain 팀 엔지니어가 Router2와 Router5의 기술 문제를 해결하기 위해 가정용 컴퓨터에 물리적으로 접근하는 것만 허용되었다.

7월 9일, 자오쥔의 누나가 라우터 풀에 남아 있는 사용자 자산을 이전하였고, 이후 팀과 여러 프로젝트 측에 통보하였다. 이 자금은 자오쥔의 누나가 관리하는 EOA 주소로 이전되었다.

7월 13일, 자오쥔의 가족이 제공한 상황에 따라 경찰은 자오쥔의 누나를 체포하였다.

슬로우 모니터링에 따르면, 7월 7일 이후 Multichain에서 유출된 자금 총액은 2억 6500만 달러에 달하며, 이는 Ethereum, BNB Chain, Polygon, Avalanche, Arbitrum, Optimism, Fantom, Cronos, Moonbeam 체인에 분포되어 있다. 그 중 6582만 달러는 Circle과 Tether에 의해 동결되었고, 1,296,990.99 ICE(약 162만 달러)는 토큰 발행자가 소각하였다.

공식 정보에 따르면, Multichain은 2020년 7월에 설립되었으며, 2021년 12월에 6000만 달러의 자금을 조달하였다. 투자 기관으로는 Binance Labs, Sequoia Capital, IDG Capital, 삼엽자본, DeFiance Capital, TRON Foundation, Hashkey Capital, Circle, Hypersphere Ventures, Primitive Ventures 및 Magic Ventures가 있다.

블록체인 크로스체인이란?

공공 블록체인의 빠른 발전은 블록체인 기술의 점점 더 널리 퍼지는 보급과 혁신과 밀접한 관련이 있다. 과장된 데이터에 따르면, 현재 존재하는 공공 블록체인은 수백 개에 이를 수 있으며, 서로 다른 블록체인 간에는 다양한 통신 프로토콜, 합의 규칙 및 거버넌스 모델이 존재한다. 유명한 공공 블록체인으로는 비트코인, 이더리움, 솔라나, 바이낸스 스마트 체인(BSC) 등이 있으며, 이 외에도 다양한 합의 메커니즘과 기술 아키텍처를 기반으로 한 공공 블록체인 프로젝트가 존재한다. 각 공공 블록체인은 고유한 특징, 장점 및 응용 시나리오를 가지고 있다. 따라서 서로 다른 블록체인 간의 상호 운용성은 사용자들이 체인 간 자산 및 정보 전송을 가능하게 하는 크로스체인 기술의 필연적인 결과가 되었다.

크로스체인 기술은 블록체인 산업의 핵심 기술 중 하나로, 서로 다른 블록체인 간의 데이터 흐름, 자산 이전 및 가치 상호 통신 문제를 해결하는 것을 목표로 한다. 크로스체인 기술의 기본 기술은 비교적 복잡하다. 비기술자는 간단한 예를 통해 크로스체인 기술을 이해할 수 있다. 대부분의 경우, 사용자가 A 체인에서 B 체인으로 자산을 이동하려고 할 때, 먼저 자산을 A 체인에 있는 크로스체인 기술의 지정 주소에 저장해야 한다. 이후, 브릿지의 감시자가 이 정보를 수신하면, 체인 B에서 동일한 양의 포장 자산(wrapped token)을 발행하거나, 목표 체인에 자금 풀을 구축하여 크로스체인 자산을 목표 체인의 원주 자산으로 변환한 후, 사용자의 체인 B 계좌로 자금을 송금한다.

크로스체인 기술에서 가장 주목받는 문제는 보안 문제이다. 크로스체인 창업자에게는 프로젝트의 안전성 외에도 인신 안전도 중요하다.

프로젝트 공격의 법적 위험

크로스체인 기술 분야에서의 보안 사고는 드물지 않다. 2021년 7월 3일, Chainswap 크로스체인 프로젝트의 계약이 공격받아 일부 사용자 토큰이 ChainSwap과 상호작용하는 지갑에서 인출되었으며, 총 손실은 약 80만 달러에 달했다. 2021년 7월 12일, Anyswap이 새롭게 출시한 V3 크로스체인 유동성 풀도 해커의 공격을 받아 총 손실이 787만 달러를 초과하였다. 2021년 8월, Poly Network는 메인넷이 해커의 공격을 받았다고 발표하였고, 사용자들이 BSC, 이더리움 및 Polygon 세 개의 블록체인에서 총 6억 1000만 달러의 자산이 이전되었다고 하며, 이는 현재까지 가장 큰 금액의 DeFi 보안 사건이 되었다.

블록체인 기술이 본질적으로 탈중앙화되어 있기 때문에, 스마트 계약에 결함이나 취약점이 발생하여 손실이 발생할 경우, 책임자를 규명하는 것이 매우 어려울 수 있다. 사용자 자산이 손실된 경우, 크로스체인 프로젝트 측이 관련 책임을 져야 하는지는 복잡한 문제이다.

이에 대해 프로젝트 측이 미리 할 수 있는 두 가지는 다음과 같다:

1. 스마트 계약 보안 감사. 스마트 계약이 보안 감사를 통과했는지 확인하여 기술적으로 취약점과 공격을 방지한다. 대부분의 크로스체인 기술은 금융과 직접적으로 관련이 있으며, 사용자 자금과 관련이 있으므로, 크로스체인 기술 프로토콜의 설계와 구현은 처음부터 보안을 고려해야 하며, 아무리 철저하더라도 과하지 않다. 또한, 프로토콜은 최소 두 개의 보안 감사 회사에 의해 감사받아야 하며, 이를 통해 보안 위험을 줄여야 한다. 불필요한 관리자 신원을 도입하지 않고, 프로토콜 배포자와 관리자 권한을 제한하여 단일 계정의 유출로 인해 전체 프로토콜의 자금이 보안 위험에 처하는 것을 방지해야 한다.

2. 계약서 작성. 프로젝트 측과 파트너, 투자자 및 사용자 간의 사용자 계약 및 계약 조항을 명확하게 하여, 안전 사고 발생 시 각 당사자의 책임과 의무, 사용자 자산 손실 시의 보상 메커니즘을 문서에 명시해야 한다.

프로젝트 발행의 법적 위험

대부분의 크로스체인 프로젝트는 자체 프로젝트 토큰을 보유하고 있다. 크로스체인 창업자가 이해해야 할 것은, 국가와 지역마다 블록체인 및 암호화폐에 대한 법적 프레임워크가 크게 다르다는 것이다. 예를 들어, 미국 증권 거래 위원회(SEC)는 특정 토큰을 증권으로 간주할 수 있으며, 유럽 연합은 완전히 다른 분류를 가질 수 있다. 이는 크로스체인 솔루션을 설계하고 구현할 때 다양한 법적 요구 사항과 규제 프레임워크를 고려해야 함을 의미한다.

토큰 발행은 중국에서 더욱 민감한 문제이다. 2017년 9월 4일, 중앙은행 등 7개 부처는 "토큰 발행 및 자금 조달 위험 방지에 관한 공고"를 발표하였고, 토큰 발행 자금 조달은 본질적으로 승인되지 않은 불법 공개 자금 조달 행위로, 불법적으로 토큰을 판매하거나 증권을 발행하고 불법 모금, 금융 사기, 다단계 판매 등의 범죄 활동에 연루될 수 있음을 명확히 하였다. 공고 발표 이후, 모든 종류의 토큰 발행 및 자금 조달 활동은 즉시 중단해야 하며, 이미 완료된 토큰 발행 및 자금 조달을 한 조직과 개인은 환불 등의 조치를 취해야 한다고 요구하였다.

프로젝트 측이 중국 내 사용자에게 토큰을 발행하는 것은 규제의 고압선에 해당한다.

KYC, KYT 및 AML

서두에서 언급한 Multichain의 체포는 공개된 언론 보도에 따르면 범죄 집단의 자금 세탁과 관련이 있으며, 금액이 막대하다. 크로스체인 기술의 일부 특성인 익명성과 추적의 어려움으로 인해 범죄 집단이 자금 세탁의 도구로 쉽게 이용될 수 있다.

구체적으로, 크로스체인 기술은 여러 다른 블록체인 네트워크 간의 자산 이전과 관련이 있으며, 일부 네트워크는 더 높은 익명성과 개인 정보 보호 기능을 갖추고 있어, 자금 세탁자가 자금 흐름의 출처와 목적지를 더 쉽게 숨길 수 있다. 또한, 크로스체인은 여러 블록체인 네트워크 간의 자산 이전을 포함하므로, 이러한 거래를 추적하고 감시하는 것이 더욱 복잡해진다. 일부 크로스체인 프로토콜의 설계는 거래 기록을 추적하거나 감시하기 어렵게 만들어 자금 세탁 활동에 더 많은 기회를 제공한다.

오케이 클라우드 체인 연구소의 통계에 따르면, 자금 세탁, 사기, 다단계 판매, 도박은 2022년 가장 흔한 네 가지 가상 화폐 범죄 형태이며, 이 중 54.72%의 가상 화폐 범죄가 자금 세탁과 관련이 있고, 21.13%는 사기와 관련이 있다.

각국 정부가 가상 화폐를 싫어하는 중요한 이유는 그것이 악용되기 때문이다. 범죄 집단이 규제 기관의 감시를 받게 되면, 범죄 집단의 범죄 자산에 도움을 주는 크로스체인 프로젝트도 자연스럽게 연루될 수밖에 없다. 크로스체인 프로젝트는 기술 중립성을 주장할 수 없다. 2022년 8월, 미국 재무부 외국 자산 통제 사무소(OFAC)는 믹서 Tornado Cash에 대해 제재를 가했으며, 제재 문서에 따르면 Tornado는 2019년 설립 이후 70억 달러 이상의 암호 자산을 세탁하는 데 사용되었으며, 여기에는 북한 해커 조직 Lazarus Group이 두 개의 블록체인 애플리케이션에서 훔친 4억 5500만 달러 이상의 암호 자산이 포함되어 있다.

KYC와 AML을 잘 수행하면 앞서 언급한 위험을 효과적으로 줄일 수 있다.

KYC(고객 알기): 효과적인 KYC 프로세스를 설계하고 구현하는 것은 비즈니스의 규정 준수를 보장하는 첫 번째 단계이다. 여기에는 사용자 신원 정보(이름, 주소, 신분증 및 기타 관련 자료)를 수집하고 검증하는 것이 포함된다. KYC 프로세스가 현지 법률 및 규정의 요구 사항을 준수하도록 하고 지속적으로 업데이트 및 검토해야 한다. 개인 데이터를 수집하고 처리할 때는 개인 정보 보호 규정을 준수하고, 사용자에게 데이터 수집 및 사용 방법을 명확히 알려야 한다. KYC는 법정 화폐 세계에 더 적합하고, KYT는 블록체인 세계에 더 적합하다.

KYT(거래 알기): KYT는 금융 기관이 금융 거래에서 사기 또는 의심스러운 활동이 있는지를 모니터링하고 추적하는 과정으로, KYT는 금융 기관이 각 거래의 출처와 목적지를 식별하고 거래 위험을 평가하며, 필요한 조치를 취하고, 의심스러운 거래를 규제 기관에 보고하는 데 도움을 줄 수 있다. KYT는 전통 금융 분야에서 일반적으로 사용되는 KYC와는 다르다. KYC는 주로 고객의 신원 정보에 초점을 맞추고 특정 개인/기관의 정적 신원에 더 중점을 두는 반면, KYT는 고객의 동적 거래 과정에 주로 초점을 맞춘다. 전통 금융 분야에서 KYT는 현재 추가적인 장점이지만, 가상 자산 거래에서는 KYT가 위험 대응의 필수 요소가 될 수 있다.

그 이유는 블록체인 세계에서는 은행 계좌 개설 시 많은 신원 인증 자료를 제공해야 하는 과정이 없기 때문이다. 암호화폐 사용자들은 계정 개설에 있어 도움을 요청하지 않고, 마음대로 계정을 개설할 수 있으며, 익명으로 수많은 체인 상 주소를 생성할 수 있다. 이러한 상황에서, 무작위의 지갑 주소를 통해 상대방의 실제 신원이 누구인지 알기 어렵고, 자금 세탁 방지 또한 어렵다. KYT는 블록체인 사용자가 어떤 주소와 거래가 위험이 있는지를 식별하고, 의심스러운 불법 거래의 블랙 주소를 찾아내며, 블랙 주소를 따라 거래의 시작점과 끝점을 추적할 수 있도록 도와준다. 의심스러운 거래 행위, 다크 웹의 거래 주소, 그와 관련된 주소, 특정 주소의 거래소 KYC 기록 등의 정보는 체인 상 주소와 해당 실체를 연결하여 익명 체인 세계와 실명 오프라인 신원을 연결할 수 있다.

AML(자금 세탁 방지): 의심스럽거나 비정상적인 거래 활동을 식별하고 보고하기 위해 효과적인 거래 모니터링 메커니즘을 구현한다. 기술 도구와 시스템을 활용하여 고객의 거래 패턴, 자금 흐름 및 위험 행동을 모니터링하고, 필요한 조치를 신속하게 취하여 조사하고 보고한다.

효과적인 KYC, KYT 및 AML 조치는 자금 세탁, 테러 자금 조달 및 기타 금융 범죄와 관련된 위험을 줄이고, 신뢰와 명성을 구축하며, 프로젝트 측의 안전을 보장하는 기반 위에서 비즈니스와 사용자에게 더 안전하고 신뢰할 수 있는 환경을 제공할 수 있다.

요약

점점 더 많은 국가와 지역이 가상 자산의 자금 세탁 방지를 규제 범위에 포함시키면서, 가상 자산 발행 및 유통과 관련된 기관들은 불가피하게 KYC의 실사를 보완하기 위해 KYT를 통해 규제 기관의 규정 준수 요구를 충족해야 한다.

크로스체인 창업자는 기술 혁신과 비즈니스 모델 탐색을 추구하는 동시에 법적 위험 관리에 최우선을 두어야 한다. 그래야만 자신의 안전을 보장할 수 있으며, 안전한 기반 위에서만 프로젝트의 장기적인 발전과 사용자 자산의 안전을 확보할 수 있다.