서울동부지검 사이버수사부(부장검사 김태은)는 9월 13일 암호화폐 이관 피싱사이트를 개설해 한국 이용자 24명, 일본 이용자 37명 등 총 61명이 보유 중인 '리플(ripple)' 암호화폐 9억원 상당을 빼돌려 가로챈 리플 국내거래소 운영자 김 모(33)씨를 컴퓨터 등 사용사기와 정보통신망법 위반(정보통신망 침해 등) 혐의로 구속기소했다고 밝혔다. 검찰은 또 피싱사이트를 제작하는 등 범행을 도운 프로그래머 이 모(42)씨를 불구속기소하고, 일본거래소 운영자 A(일본인)씨를 기소중지했다. 이번 수사는 특히 피싱사이트 정보 제공 등 미 연방수사국(FBI)과의 공조를 통해 일당을 검거한 경우여서 주목된다.

리플은 블록체인을 기반으로 2012년 최초 발행되어 유통되고 있는 암호화폐로 단위는 XRP이며, 비트코인과 이더리움에 이어 전체 시장규모 3위(2018년 2월 초 기준 약 30조원)를 차지하고 있다. 채굴방식의 다른 암호화폐와 달리 운영주체가 리플 토큰을 직접 발행하는 것이 특징이다.

김씨 등은 2017년 7월경 암호화폐 정식 이관사이트를 모방한 피싱사이트를 개설한 후 2017년 7～8월경 피해자 47명(한국 17명, 일본 30명)이 보유하고 있던 암호화폐 약 200만 리플(XRP)을 자신들 계정으로 무단 이관하고, 비트코인 등 다른 암호화폐로 믹싱(암호화폐 자금세탁)한 후 현금 약 4억원을 인출했다. 또 2017년 12월～2018년 1월경 같은 방법으로 피해자 14명(한국 7명, 일본 7명)으로부터 약 39만 리플을 가로채 현금 약 5억원을 인출했다. 2차 범행 때의 피해자가 1차 범행 때보다 적으나 피해금액은 오히려 많고, 피해자 중에 일본 이용자가 한국 이용자보다 더 많다. 김씨 등은 1리플의 시세가 2017년 7월경 약 200원에서 2018년 1월경 약 4000원으로 급등하자 재차 범행한 것으로 드러났다. 2018년 9월 현재 1리플은 약 300원이다.

검찰에 따르면, 김씨 등은 피싱사이트를 개설하고 국내거래소와 일본거래소를 이용하는 대량 암호화폐 보유 회원들 중에서 강화된 인증절차 없이 아이디와 비밀번호만으로 암호화폐 거래가 가능한 회원을 선별한 후, 이들에게 '보유 암호화폐를 특정(모방) 사이트로 이관하지 않으면 향후 암호화폐를 사용할 수 없다'는 내용의 이메일을 발송, 회원들로 하여금 피싱사이트에 접속해 아이디와 비밀번호를 입력하도록 유도하여 암호화폐 이관에 필요한 정보를 탈취했다.

김씨는 2014년에 개설된 국내 첫 리플 거래소 운영자로, 2015년 암호 화폐 해킹 피해를 신고했으나 해커 추적에 실패해 피해 보상을 받지 못한 경험이 있고, 이에 유사 범행을 하더라도 추적이 어려울 것으로 인식했다고 진술했다.

검찰은 그러나 암호화폐 의심 거래내역 등을 포착한 미 FBI가 피싱사이트 주소 등 관련 자료를 대검(사이버수사과)에 제공, 범인 추적에 주요 단서가 되었다고 밝혔다.

이씨는 김씨의 의뢰로 수사기관의 추적이 매우 어려운 해외 호스팅업체를 이용해 피싱사이트를 개설하고 이메일 발송에 이용하는 등 범행에 가담했으며, A씨는 김씨에게 일본거래소 회원의 DB를 제공하고, 일본 암호화폐 거래소에서 탈취한 리플을 자금세탁하는 등 범행을 도운 것으로 드러났다.

검찰에 따르면, 김씨는 범죄 수익 대부분을 생활비 등으로 소진해 암호화폐나 현금 잔고가 없는 상태다. 그 밖의 김씨의 재산에 대해서는 이번 암호화폐 범행이 현행 범죄수익환수법이 규정하는 몰수 · 추징 대상에 포함되지 않아 환수가 불가능하다.

검찰 관계자는 "현행 통신사기피해환급법상 계좌 지급정지나 피해구제 대상도 '자금의 송금 ‧ 이체'에 한정하고 있어, 암호화폐 관련 사기의 경우 적용할 수 없다"며 "법률 개정 등의 검토가 필요하다"고 말했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)