'페이첸' 충격 실체 드러났다…북한·러시아·멕시코 카르텔 하나로 연결

중국 비공식 지하은행인 '페이첸'이 암호화폐와 카지노를 결합해 북한 해커, 멕시코 마약 카르텔, 러시아 범죄조직을 연결하는 글로벌 범죄자금 세탁망을 구축하고 있는 것으로 드러났다.

블록체인 정보분석 전문업체 TRM Labs가 최근 발표한 '그림자 은행가들' 보고서를 보면, '날아다니는 돈'이란 뜻의 ‘페이첸’은 정규 은행을 우회해 국경을 넘나드는 불법 자금 이동을 돕고 있다고 월드카지노디렉토리가 지난 11일(현지시각) 보도했다.


TRM Labs 보고서를 보면 14K, 선이온 같은 중국 삼합회 조직들이 범죄 수익을 세탁하려고 지하은행과 디지털 자산을 쓰고 있다. 이들은 원래 홍콩과 마카오의 도박 중개업을 장악했던 영향력을 동남아시아 전역의 실제 카지노와 온라인 카지노로 넓혔다.

코로나19 이후 삼합회는 카지노망을 이른바 '돼지 도축' 로맨스 사기와 투자 사기를 벌이는 사이버 사기 단지로 바꿨다고 보고서는 분석했다. 이런 사기로 얻은 불법 이익은 암호화폐로 카지노 계정과 베팅 크레딧을 거쳐 돌고, 합법 도박 활동과 섞여서 결국 정당한 상금이나 사업 수익으로 둔갑한다.
유엔 마약범죄사무소는 이런 카지노 기반 세탁이 "과거보다 훨씬 더 크고 추적할 수 없는 방식으로" 자금을 옮기고 있어 당국 수사가 점점 어려워지고 있다고 평가했다.

TRM Labs는 삼합회 연결 조직들이 카지노 기반 자금세탁과 무역 기반 자금세탁을 함께 쓰는 경우가 많다고 지적했다. 범죄 현금은 가짜 회사를 통해 비싼 상품을 사는 데 쓰이고, 이 상품들은 해외로 팔려나가면서 합법 이익을 만들어낸다. 암호화폐는 공급업체 돈을 주거나 상품을 살 때 등 이 과정의 여러 단계에서 쓰여 거래에 익명성을 더한다.


시날로아 카르텔을 포함한 멕시코 카르텔들은 '거울 교환' 방식을 통해 중국 자금세탁 조직과 손을 잡고 있다. '거울 교환'은 실제로는 돈이 국경을 넘지 않으면서도 가치만 이동시키는 불법 송금 방식이다. 이 방식에서 중국 중개인들은 카르텔이 가진 미국 달러 현금을 사고, 멕시코에서 이미 통제하고 있던 자금에서 뽑은 페소로 멕시코 안 카르텔 연락책에게 돈을 준다.

중국 중개인들은 해외로 돈을 빼내려는 부유한 중국 고객들에게 미국 달러를 팔고 중국 안에서 위안화로 돈을 받는다. 결과로 달러와 위안화는 각각의 나라에 그대로 남아있지만, 가치는 공식 은행 밖에서 당사자끼리 넘어간다.

암호화폐는 이 방식의 속도와 비밀성을 높였다. 카르텔 관련 조직들은 미국의 암호화폐 현금인출기나 거래소를 써서 대량 현금을 비트코인으로 바꾼 뒤 중국 조직이 통제하는 지갑으로 보낼 수 있다. 중국 조직은 이후 암호화폐를 법정화폐로 바꾸거나 카르텔을 위한 상품 구매에 쓴다.

로스앤젤레스에 본거지를 둔 한 조직이 미국 안에서 5000만 달러(약 690억 원) 이상의 마약 자금을 디지털 자산과 무역 기반 자금세탁으로 세탁한 사례가 보고됐다고 TRM Labs는 밝혔다.


TRM Labs 보고서는 사이버 공격을 통해 수십억 달러의 암호화폐를 훔친 북한의 국가 지원 해커들이 수익금을 현금화하려고 중국 장외거래 암호화폐 중개인들에게 의존하는 방식을 자세히 기술했다.

지난해 미국 기소장에서 북한 은행가 심현섭과 우후이후이, 정홍만, '자미 첸' 등 3명의 중개인이 도난 자산을 세탁한 혐의로 기소됐다. 이들 중개인은 해킹된 암호화폐를 거래소와 가짜 회사를 통해 돌려서 미국 달러로 바꾼 뒤, 홍콩에 본사를 둔 가짜 회사를 통해 제재 대상 상품을 사는 데 썼다.

돈세탁 과정에서는 마지막에 현금을 뽑기 전에 수사당국이 추적하지 못하도록 특수한 방법들을 쓴다고 보고서는 전했다. '믹서'라는 서비스로 여러 사람의 암호화폐를 뒤섞어 누구 돈인지 알 수 없게 만들고, '크로스체인 다리'라는 기술로 서로 다른 암호화폐 시스템 사이를 옮겨 다니며 흔적을 지운다.

보고서는 "북한이 훔친 암호화폐를 러시아가 운영하는 거래소나 믹서 계좌로 보내는 일도 있었는데, 이는 북한과 러시아가 서로 도와주고 있음을 보여준다"고 밝혔다.

TRM Labs는 2021년 이후 군사 및 이중 용도 장비 거래에 관여하는 러시아 및 중국 기업과 연결된 지갑으로 보내진 최소 8500만 달러(약 1180억 원)를 확인했다고 발표했다. 드론과 광학 장비 등 군사 하드웨어를 만드는 중국 기업들이 암호화폐를 결제 수단으로 써서 러시아에 판 것으로 드러났다.

북한 역시 중국 중개인을 써서 훔친 암호화폐를 제재 대상 상품 구매로 돌렸고, 러시아의 다크넷 장터와 암호화폐 거래소도 중국과 북한 행위자 모두의 세탁을 쉽게 만들었다. 이런 관계는 북한이 훔친 디지털 자산을 제공하고, 중국 조직이 자금을 세탁하고 정산하며, 러시아 행위자가 플랫폼과 사이버 도구, 장터를 공급하는 서로 연결된 망을 이루고 있다.

보고서는 이런 지하 금융망들이 규제 틈새와 기술 사각지대, 국제 관할권 틈새를 노린다고 강조했다. 이들은 고객 파악 규칙이 약한 지역에서 활동하고, 여러 계정을 통해 거래를 겹겹이 쌓으며, 자금 흔적을 흐리려고 믹서와 프라이버시 코인, 빠른 블록체인 전송에 크게 의존하고 있다.

세계 최대 암호화폐 거래소인 바이낸스가 2022년 불법 업자 우후이후이의 계정을 사용할 수 없게 막은 것처럼 당국이 단속에 나서면, 이들 범죄망은 재빠르게 다른 플랫폼으로 옮겨가거나 새로운 중개인을 내세워 계속 활동한다고 TRM Labs는 분석했다.

TRM Labs는 이런 활동에 맞서려면 고급 블록체인 분석과 글로벌 협력, 새로운 집행 전략을 함께 써야 한다고 결론지었다. 수백 년 전부터 이어온 중국의 지하은행 방식에 최신 암호화폐 기술까지 더해진 이들 범죄망은 전 세계 금융시스템에 끊임없이 위협이 되고 있다고 평가했다.


박정한 글로벌이코노믹 기자 park@g-enews.com