소개

스테이블코인은 최근 몇 년 동안 빠르게 발전해 왔습니다. 스테이블코인의 광범위한 사용으로 인해 규제 당국은 불법 자금 동결 메커니즘 구축을 점점 더 강조해 왔습니다. USDT와 USDC와 같은 주류 스테이블코인은 이미 기술적으로 이러한 기능을 갖추고 있는 것으로 확인되었습니다. 실제로 이러한 메커니즘이 자금세탁 및 기타 불법 금융 활동을 방지하는 데 실제로 기여했음을 보여주는 사례가 여러 건 있습니다.

더욱이 저희 연구에 따르면 스테이블코인은 자금세탁 뿐만 아니라 테러 조직의 자금 조달 과정에도 자주 활용됩니다 . 따라서 본 논문에서는 두 가지 관점에서 분석합니다.

1. USDT 블랙리스트 주소의 동결 동작을 체계적으로 검토합니다.

2. 동결된 자금과 테러 자금 조달 간의 연관성을 알아보세요.

1. USDT 블랙리스트 주소 분석

온체인 이벤트 모니터링을 통해 테더 블랙리스트 주소를 식별하고 추적합니다. 분석 방법은 테더 스마트 컨트랙트 소스 코드를 통해 검증되었습니다. 핵심 로직은 다음과 같습니다.

• 이벤트 식별:

  Tether 계약은 두 가지 이벤트를 통해 블랙리스트 상태를 유지합니다.

• AddedBlackList : 블랙리스트 주소 추가

• RemovedBlackList : 블랙리스트 주소 제거

• 데이터 세트 구성:

  블랙리스트에 등록된 각 주소에 대해 다음 필드를 기록합니다.

• 주소 자체

• 블랙리스트에 등록됨

• 블랙리스트에서 주소가 제거되면 해제 시간(unblacklisted_at)이 기록됩니다.

계약에서 관련 기능의 구현은 다음과 같습니다.

1.1 핵심 결과

이더리움과 트론의 테더 데이터를 기반으로 다음과 같은 추세를 발견했습니다.

2016년 1월 1일 이후 총 5,188개 주소가 블랙리스트에 올랐으며, 여기에는 29억 달러 이상의 동결 자금이 포함되어 있습니다.

2025년 6월 13일부터 30일까지만 해도 151개 주소가 블랙리스트에 등록되었으며, 그중 90.07%는 트론 체인 주소였습니다(주소 목록은 부록 참조). 동결된 금액은 최대 8,634만 달러 였습니다. 블랙리스트 발생 시간 분포: 6월 15일, 20일, 25일이 블랙리스트 등록이 가장 많았으며, 6월 20일에만 63개 주소가 블랙리스트에 등록되었습니다.

• 동결 금액 분포: 금액 기준 상위 10개 주소는 총 5,345만 달러(USD) 를 동결했으며, 이는 전체 동결 금액의 61.91%를 차지합니다. 평균 동결 금액은 571,800 USD 이지만, 중간값은 40,000 USD 에 불과합니다. 이는 소수의 고액 주소가 전체 평균을 상회했고, 대다수 주소의 동결 금액이 상대적으로 적음을 나타냅니다.

• 라이프사이클 펀드 분배: 이 주소들은 총 8억 800만 달러를 수령했으며, 그중 7억 2,100만 달러는 블랙리스트에 오르기 전에 이체되었고, 8,634만 달러만 실제로 동결되었습니다. 이는 대부분의 자금이 규제 당국의 개입 전에 성공적으로 이체되었음을 보여줍니다. 또한, 주소의 17%는 인출 기록이 전혀 없는데, 이는 임시 보관소 또는 자금 집계 지점으로 사용될 가능성이 있어 추가적인 주의가 필요합니다.

• 새로 생성된 주소는 블랙리스트에 등록될 가능성이 더 높습니다. 블랙리스트에 등록된 주소 중 41%는 30일 이내에 생성되었고, 27%는 91~365일 동안 존재했으며, 단 3%만이 2년 이상 사용되었습니다. 이는 새 주소가 불법 활동에 사용될 가능성이 더 높다는 것을 보여줍니다.

• 대부분의 주소는 "동결 전 탈출"을 달성했습니다. 약 54%의 주소가 블랙리스트에 오르기 전에 자금의 90% 이상을 이체했고, 10%는 동결 당시 잔액이 0이었습니다. 이는 대부분의 법 집행 조치가 자금의 잔여 가치만 동결할 수 있음을 나타냅니다.

• 새로운 주소는 자금 세탁에 더 효율적입니다. FlowRatio 대 DaysActive 산점도를 통해 새로운 주소가 양, 블랙리스트 빈도, 이체 효율성 측면에서 뛰어난 성과를 보였으며 자금 세탁 성공률이 가장 높았음을 발견했습니다.

1.2 자금 흐름 추적

BlockSec의 온체인 추적 도구인 MetaSleuth(https://metasleuth.io)를 사용하여 6월 13일부터 30일 사이에 블랙리스트에 오른 151개 USDT 주소의 자금 흐름을 추가로 분석하고 자금의 주요 출처와 목적지를 파악했습니다.

1.2.1 자금원 분석

• 내부 오염(91개 주소) : 이 주소의 자금은 다른 블랙리스트 주소에서 유입된 것으로, 고도로 상호 연결된 자금 세탁 네트워크가 존재함을 나타냅니다.

• 피싱 태그(37개 주소) : MetaSleuth에서는 많은 업스트림 주소가 "가짜 피싱"으로 표시되어 있는데, 이는 불법적인 출처를 숨기기 위한 기만적인 태그일 수 있습니다.

 https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

• 거래소 핫월렛(34개 주소) : 자금 출처에는 바이낸스(20), OKX(7), MEXC(7) 등의 거래소 핫월렛이 포함되며, 이는 도난된 계정이나 "뮬 계정"과 관련이 있을 수 있습니다.

• 단일 주요 유통업체(35개 주소) : 동일한 블랙리스트 주소가 여러 번 업스트림으로 사용되어 자금을 분배하는 집계자 또는 믹서로 활용될 수 있습니다.

• 크로스체인 브릿지 진입(2개 주소) : 자금 일부가 크로스체인 브릿지에서 유입되어 크로스체인 자금세탁 활동이 존재함을 나타냅니다.

1.2.2 펀드 대상지 분석

• 다른 블랙리스트 주소로의 흐름(54) : 블랙리스트 주소들 사이에는 "내부 루프 체인" 구조가 존재합니다.

• 중앙화된 거래소로의 흐름(41) : 이 주소들은 바이낸스(30), 바이빗(7) 등의 중앙화된 거래소의 충전 주소로 자금을 이체하여 "버스에서 내리는 것"을 달성합니다.

• 크로스 체인 브릿지로의 흐름(12) : 이는 일부 자금이 트론 생태계에서 벗어나 체인을 넘나들며 자금세탁을 계속 시도하고 있음을 나타냅니다.

 https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

바이낸스와 OKX가 자본 유입(핫월렛)과 유출(충전 주소)의 양 끝단에 위치한다는 점은 주목할 만하며, 이는 이들이 자본 체인에서 핵심적인 위치를 차지하고 있음을 더욱 부각시킵니다. 현재 거래소의 자금세탁방지( AML/CFT) 미흡한 이행과 자산 동결 지연으로 인해 범죄자들이 규제 당국의 개입 전에 자산 이전을 완료할 가능성이 있습니다.

자금의 핵심 채널인 주요 암호화폐 거래 플랫폼은 위험이 발생하기 전에 예방하기 위해 실시간 모니터링과 위험 차단 메커니즘을 강화해야 한다고 권고합니다.

 https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

2. 테러 자금 조달 분석

테러 자금 조달에 USDT가 어떻게 활용되는지 더욱 자세히 이해하기 위해 이스라엘 국가테러자금조달국(NBCTF)에서 발행한 행정 압수 명령을 분석했습니다. 단일 데이터 출처를 사용하여 전체적인 상황을 복원하기는 어렵지만, USDT 관련 테러 거래에 대한 보수적인 분석 및 추정을 평가하기 위한 대표 표본으로 활용됩니다.

2.1 핵심 결과

• 공개 시점 : 2025년 6월 13일 이스라엘-이란 갈등이 격화된 이후 새로운 압수 명령은 단 한 건(6월 26일)만 발령되었습니다. 이전 압수 명령은 6월 8일에 발령되었는데, 이는 지정학적 긴장 상황에서 법 집행 기관의 대응이 지연되었음을 보여줍니다.

• 대상 조직 : 2024년 10월 7일에 분쟁이 발발한 이후 NBCTF는 총 8건의 압수 명령을 내렸는데, 그 중 4건에는 "하마스"가 명시적으로 언급되었고, 가장 최근의 명령에는 처음으로 "이란"이 언급되었습니다.

• 압수 명령의 적용을 받는 주소 및 자산 :

• 76개 USDT(트론) 주소

• 16개 BTC 주소

• 2개의 이더리움 주소

• 641개의 바이낸스 계정

• 8개의 OKX 계정

76개 USDT(Tron) 주소에 대한 온체인 추적 결과, 이러한 공식 지침에 대한 Tether의 두 가지 행동 패턴이 발견되었습니다.

1. 활성 동결 : 테더는 압수 명령이 내려지기 전에 하마스 관련 주소 17곳을 블랙리스트에 올렸으며, 이는 평균 28일 전 , 가장 빠른 경우는 45일 전에 이루어졌습니다.

2. 빠른 대응 : 나머지 주소에 대해서는 압수 명령이 내려진 후 평균 2.1일 만에 테더가 동결을 완료하여 우수한 법 집행 협력 역량을 보여주었습니다.

이러한 징후는 일부 국가에서 Tether와 법 집행 기관 사이에 긴밀하고 사전 예방적인 협력 메커니즘이 있음을 나타냅니다.

3. AML/CFT의 요약 및 과제

저희 연구에 따르면 USDT와 같은 스테이블코인은 거래 제어를 위한 기술적 수단을 제공하지만 AML/CFT는 여전히 실무적으로 다음과 같은 과제에 직면해 있습니다.

3.1 핵심 과제

• 지연된 법 집행 대 사전 예방 및 통제 : 현재 대부분의 법 집행 조치는 여전히 사후 처리에 의존하고 있어 범죄자들이 자산을 옮길 여지를 남겨두고 있습니다.

• 거래소의 규제 사각지대 : 자금 유입과 유출의 허브 역할을 하는 중앙 거래소는 모니터링이 부족한 경우가 많고, 적시에 비정상적인 행동을 파악하기 어렵습니다.

• 크로스체인 자금세탁은 점점 더 복잡해지고 있습니다 . 멀티체인 생태계와 크로스체인 브리지를 사용하면 자금 이체가 더 은밀해지고 규제 추적이 더 어려워집니다.

3.2 권장 사항

스테이블코인 발행자, 거래소 및 규제 기관에 다음을 권장합니다.

• 온체인 정보 공유 강화

• 실시간 행동 분석 기술에 투자하세요.

• 크로스체인 규정 준수 프레임워크를 구축합니다.

시기적절하고, 조율되고, 기술적으로 성숙한 AML/CFT 시스템 하에서만 스테이블코인 생태계의 합법성과 보안이 진정으로 보장될 수 있습니다.

4. BlockSec의 노력

BlockSec은 암호화폐 업계의 보안 및 규정 준수를 강화하고, AML 및 CFT를 위한 실용적이고 실행 가능한 온체인 솔루션을 제공하는 데 주력하고 있습니다. BlockSec은 두 가지 주요 제품을 출시했습니다.

4.1 Phalcon 규정 준수

거래소, 규제 기관, 지불 프로젝트 및 DEX를 위해 설계되었으며 다음을 지원합니다.

• 멀티체인 주소 위험 점수

• 실시간 거래 모니터링

• 블랙리스트 식별 및 알림

사용자가 점점 더 엄격해지는 규정 준수 요구 사항을 충족할 수 있도록 지원합니다.

4.2 메타슬루스

당사의 시각적 온체인 추적 플랫폼은 전 세계 20개 이상의 규제 기관 및 법 집행 기관에서 채택되었습니다. 다음과 같은 기능을 지원합니다.

• 시각적 자금 추적

• 멀티체인 주소 초상화

• 복잡한 경로 복원 및 분석

이 두 가지 도구는 분산형 금융 시스템의 질서와 보안을 보호한다는 우리의 사명을 구현합니다.