얼마전에 미국 최대의 송유관 회사 콜로니얼 파이프라인을 랜섬웨어로 공격한 해커들이 받아낸 비트코인을 FBI에서 회수했다는 뉴스가 오늘 여기저기서 많이 나왔습니다.
내용을 보면 마치 FBI가 비트코인 주소의 프라이빗 키(private key)를 알아내서 회수했다는 식으로 표현하면서 마치 비트코인 지갑의 암호화가 무력화된 것처럼 서술한 경우가 보이더군요. 그런데 이게 뭔가 좀 이상합니다.
일단 사건의 전모를 보면, 여기에 연루된 범죄집단은 2개입니다. 첫번째는 실제로 송유관 회사에 랜섬웨어 공격을한 조직(A), 두번째는 A조직에 랜섬웨어를 제공/판매한 조직(B)입니다.
여기서 A는 누구인지 특정되지 않은 상태이고, B는 러시아 해커 그룹 "다크사이드"라고 알려져 있습니다.
송유관 회사는 이들에게 비트코인을 지불했는데, 85%는 A가 받고, 15%는 B가 받았습니다.
자, 여기서부터 이상합니다. FBI에서 회수한 것은 주범 A가 받은 85%에 해당하는 63.7BTC입니다. 재미있는 것이, 이 거액의 비트코인이 미국 샌프란시스코에 있는 단 1개의 비트코인 주소에 모여 있었다는 것이죠.
비트코인 주소와 물리적인 위치가 맵핑되었다면 이건 거의 확실히 코인 거래소일 것으로 생각됩니다.
미국의 송유관을 해킹해서 뜯어낸 비트코인을 미국의 코인 거래소에 입금해서 놔두는 자들은 대체 어떤 자들일까요? 둘중 하나겠죠 완전히 멍청한 놈들이거나 아니면 의도적으로 이렇게 했거나.
또 한가지 눈에 띄는 점은 B가 받아간 15%에 해당하는 비트코인을 회수했다는 얘기가 없다는 것입니다. 비트코인 지갑의 암호화를 뚫었다면, 왜 이건 회수하지 않을까요?
블럭체인을 추적하면 어느 주소로 움직였는지는 당연히 나올 것이고, 암호화를 깨고 프라이빗 키를 찾았으면 그냥 그 주소에 있는 비트코인을 다른 주소로 송금하면 끝인데 말입니다.
FBI가 비트코인 지갑의 암호화를 크랙했을 가능성은 거의 없어 보입니다. 무슨 이유인지 모르겠지만, 그냥 송유관 회사가 지불한 비트코인이 미국 거래소에 들어가 있으니까 영장 받아서 회수한 것으로 보입니다. 거래소가 발급한 입금주소의 프라이빗 키는 당연히 거래소가 가지고 있으니 영장 집행하면 당연히 회수되는 것이겠고요.
해당 영장 원문은 미국 법무부에 공개되어 있고, 아래의 링크에서 확인하실 수 있습니다.
https://www.justice.gov/opa/press-release/file/1402051/download
