Sign in Subscribe
리서치

크립토 범죄의 산업화: AI 사기, 스테이블코인, 지하금융 네트워크

GOPAX

13 min read
크립토 범죄의 산업화: AI 사기, 스테이블코인, 지하금융 네트워크

크립토 범죄는 단순 피싱이나 개인 지갑 해킹을 넘어 산업형 범죄로 진화하고 있습니다. 최근 범죄 구조는 AI 기반 사칭, 딥페이크, 피그 부처링, 가짜 투자 플랫폼, 스테이블코인 정산, 브릿지·믹서·OTC 브로커, 지하 환전 네트워크, 북한 해킹, 제재 회피가 결합된 형태로 나타납니다.

출처

핵심은 분업화입니다. 피해자를 유인하는 조직, 가짜 신원을 만드는 조직, 투자 플랫폼을 운영하는 조직, 탈취 자금을 스테이블코인으로 정산하는 조직, 온체인에서 자금을 세탁하는 조직, 최종적으로 현금화하는 조직이 따로 움직입니다. 이제 크립토 범죄는 한 명의 해커가 벌이는 사건이 아니라, 불법 금융 공급망에 가깝습니다.

2025년 기준 Chainalysis는 불법 주소가 약 1,540억 달러 상당의 가상자산을 수취했다고 분석했고, TRM Labs는 불법 크립토 흐름을 약 1,580억 달러로 추정했습니다. 다만 전체 크립토 거래량 대비 불법 거래 비중은 여전히 낮은 수준입니다. 문제는 “크립토가 범죄 수단이다”가 아니라, 합법 인프라가 커질수록 범죄자도 같은 인프라를 더 정교하게 악용한다는 점입니다.

출처

크립토 범죄는 왜 산업화되고 있는가

초기 크립토 범죄는 비교적 단순했습니다. 피싱 링크, 프라이빗 키 탈취, 거래소 계정 해킹, 러그풀, 스캠 토큰 등이 중심이었습니다. 그러나 최근에는 범죄 조직이 정상 기업처럼 기능을 나눕니다.

피해자 모집은 마케팅처럼 이루어지고, 가짜 투자 앱은 핀테크 서비스처럼 설계되며, 고객센터는 실제 플랫폼처럼 응답합니다. 피해자는 단순히 링크를 잘못 누르는 것이 아니라, 몇 주에서 몇 달 동안 설득당한 뒤 스스로 자금을 입금합니다. 이 구조가 가장 잘 드러나는 사례가 피그 부처링입니다.

피그 부처링은 피해자와 장기간 관계를 만든 뒤, 가짜 투자 기회로 유인해 자금을 탈취하는 방식입니다. FinCEN은 이를 대표적인 가상자산 투자 사기로 지목했으며, 사기범들이 허구의 정체성, 관계 형성, 정교한 스토리라인을 활용한다고 경고했습니다.

출처

AI는 사기의 한계비용을 낮춥니다

AI는 크립토 범죄의 생산성을 크게 높이고 있습니다. 과거에는 사기범이 직접 메시지를 쓰고, 번역하고, 프로필을 만들고, 피해자와 대화해야 했습니다. 이제는 생성형 AI가 다국어 메시지, 투자 리포트, 고객센터 응대, 가짜 SNS 프로필, 피싱 문구를 대량으로 만들 수 있습니다.

딥페이크와 음성 복제는 더 위험합니다. 피해자는 텍스트가 아니라 영상통화, 음성 메시지, 유명인 인터뷰, 가짜 CEO 메시지, 조작된 투자 설명회를 통해 속을 수 있습니다. FBI는 2025년 미국 IC3 신고 기준으로 AI 관련 신고가 22,364건, 피해액이 약 8억 9,300만 달러였으며, 사기범들이 가짜 소셜 프로필, 음성 복제, 위조 신분증, 그럴듯한 영상 등을 활용한다고 밝혔습니다.

Chainalysis도 2025년 크립토 사기에서 AI와 사칭형 범죄가 빠르게 확산됐다고 분석했습니다. 특히 2025년 크립토 사기 피해액은 최대 170억 달러로 추정되며, 사칭형 사기는 전년 대비 1,400% 증가했고, AI 활용 사기는 전통적 사기보다 4.5배 더 높은 수익성을 보였다고 설명했습니다.

출처

즉, AI의 핵심 효과는 “더 그럴듯한 가짜”가 아니라 “더 많은 피해자에게, 더 낮은 비용으로, 더 오래 접근할 수 있게 만든다”는 점입니다.

스테이블코인은 합법 인프라이자 범죄자의 정산 수단

스테이블코인은 크립토 시장의 핵심 인프라입니다. 가격 변동성이 낮고, 달러 단위로 표시되며, 글로벌 송금·거래소 정산·디파이·온체인 결제에 유용합니다.

하지만 같은 장점이 범죄자에게도 매력적입니다. 비트코인이나 이더리움처럼 가격 변동성이 큰 자산보다, 스테이블코인은 피해자에게 설명하기 쉽고, 송금 단위가 직관적이며, 여러 체인에서 유동성이 높습니다. 사기 조직 입장에서는 “USDT로 입금하세요”라고 말하는 편이 훨씬 간단합니다.

Chainalysis와 FATF는 2025년 불법 가상자산 거래량 중 스테이블코인이 약 84%를 차지했다고 분석했습니다. FATF는 스테이블코인이 자금세탁, 테러자금 조달, 제재 회피, 확산금융에 악용될 수 있다고 경고했습니다.

다만 이 수치는 스테이블코인이 범죄적이라는 의미가 아닙니다. 현금이 범죄에 쓰인다고 해서 현금 자체가 범죄인 것은 아닌 것과 같습니다. 핵심은 스테이블코인 발행사, 거래소, 수사기관, 온체인 분석 기업이 위험 주소를 식별하고 차단·동결·보고할 수 있는 체계를 갖추는 것입니다.

북한 해킹은 크립토 범죄와 국가 안보가 만나는 지점입니다

북한 해킹 조직은 크립토 범죄의 가장 중요한 사례 중 하나입니다. 일반 범죄 조직과 달리, 북한의 크립토 탈취는 제재 회피, 외화 확보, 무기 개발 자금 조달과 연결될 수 있기 때문입니다.

2025년 FBI는 북한이 Bybit에서 약 15억 달러 상당의 가상자산을 탈취했다고 밝혔고, 해당 활동을 TraderTraitor로 지칭했습니다. 탈취 자금은 여러 블록체인 주소로 분산되고, 비트코인 등 다른 자산으로 전환된 뒤 세탁될 가능성이 있다고 설명했습니다.

출처

북한 해킹의 특징은 공격과 세탁이 함께 고도화된다는 점입니다. 공격 단계에서는 소셜 엔지니어링, 개발자 환경 침투, 악성코드, 프라이빗 키 탈취가 활용됩니다. 탈취 이후에는 자금을 여러 지갑으로 쪼개고, 브릿지·DEX·믹서·고위험 서비스 등을 거쳐 추적을 어렵게 만듭니다.

지하 환전 네트워크는 범죄 자금의 출구입니다

크립토 범죄에서 가장 중요한 단계는 현금화입니다. 온체인에서는 거래 기록이 남기 때문에, 범죄자는 자금 흐름을 여러 단계로 쪼개 추적을 어렵게 만들려고 합니다.

전형적인 흐름은 이렇습니다.

피해자 지갑 → 사기 지갑 → 다수 중간 지갑 → DEX 스왑 → 브릿지 이동 → 스테이블코인 전환 → OTC 브로커·지하 환전상 → 현금화

여기서 OTC 브로커와 지하 환전 네트워크는 범죄 자금의 출구 역할을 합니다. 온체인에서는 추적이 가능하더라도, 최종 현금화 지점이 무허가 환전상, 해외 OTC, 카지노, 위장 무역 네트워크, 제재 대상 서비스라면 대응 난도가 높아집니다.

TRM Labs는 2025년 불법 크립토 흐름 증가의 주요 배경으로 제재 관련 활동, 국가 행위자, 조직화된 세탁 네트워크를 지목했습니다. 또한 불법 거래량은 증가했지만 전체 거래량 대비 비중은 2024년 1.3%에서 2025년 1.2%로 낮아졌다고 분석했습니다.

출처

거래소의 역할: AML, KYT, 트래블룰, 이상거래탐지

거래소는 크립토 범죄 대응의 핵심 접점입니다. 범죄자는 결국 탈취 자금을 입금하거나, 출금하거나, 현금화해야 합니다. 이 과정에서 거래소는 고객확인, 입출금 모니터링, 의심거래 보고, 제재 주소 차단, 트래블룰 확인, 이상거래탐지를 수행해야 합니다.

AML은 자금세탁방지 체계입니다. 고객의 신원, 거래 목적, 자금 출처, 위험도를 평가합니다. KYT는 거래 자체의 위험도를 보는 방식입니다. 특정 지갑이 해킹 자금, 피싱 주소, 믹서, 다크넷, 제재 주소, 스캠 클러스터와 연결되어 있는지를 분석합니다.

한국에서는 2022년 3월 25일부터 특정금융정보법상 트래블룰이 시행됐습니다. 가상자산사업자 간 100만원 상당 이상의 가상자산 이전 시 송·수신인 정보를 제공·보관해야 합니다.

출처

거래소가 특히 주의해야 할 패턴은 다음과 같습니다.

  • 신규 계정의 반복적인 스테이블코인 입출금
  • 외부 지갑 입금 직후 즉시 출금
  • 다수 계정이 동일 지갑과 연결되는 경우
  • 피싱·스캠·해킹 주소와 직간접적으로 연결된 자금
  • 믹서, 브릿지, 고위험 VASP를 거친 자금
  • 고객 프로필과 맞지 않는 대규모·고빈도 거래
  • 로맨스 스캠, 리딩방, 가짜 투자 플랫폼 피해 신고와 연결된 입금

이상거래탐지는 단순히 큰 금액만 보는 것이 아닙니다. 범죄 자금은 오히려 작은 단위로 쪼개져 들어올 수 있습니다. 금액, 빈도, 속도, 지갑 관계, 체인 간 이동, 고객 속성, 접속 환경, 입출금 목적을 함께 봐야 합니다.

개인 투자자가 조심해야 할 사기

개인 투자자에게 가장 위험한 유형은 관계형 투자 사기입니다. 최근 사기는 프라이빗 키를 훔치는 방식보다, 피해자가 스스로 송금하게 만드는 방식이 더 치명적입니다.

특히 조심해야 할 유형은 다음과 같습니다.

  • SNS·메신저·데이팅 앱에서 접근하는 투자 권유
  • 유명인·인플루언서·거래소 임직원 사칭
  • 가짜 거래소, 가짜 앱, 가짜 수익 화면
  • USDT 등 스테이블코인 입금 요구
  • 출금 전 세금, 보증금, 인증비, 유동성 수수료 요구
  • 이미 잃은 자금을 되찾아주겠다는 복구 사기

가장 단순한 원칙은 이것입니다. 모르는 사람이 먼저 접근해 투자 기회를 제안한다면 거의 사기라고 보는 편이 안전합니다. 특히 “처음에는 소액 출금이 가능했다”는 사실도 신뢰 근거가 아닙니다. 피그 부처링에서는 신뢰를 만들기 위해 초반 출금을 일부 허용하는 경우가 있습니다.

마무리

크립토 범죄는 더 이상 개인 단위의 피싱이나 해킹이 아닙니다. AI는 사칭과 설득을 자동화하고, 스테이블코인은 빠른 정산 수단으로 악용되며, 브릿지·믹서·OTC·지하 환전 네트워크는 자금세탁 경로가 됩니다. 북한 해킹 사례는 크립토 범죄가 국가 안보와도 연결될 수 있음을 보여줍니다.

그러나 이는 크립토 자체의 실패를 의미하지 않습니다. 크립토가 글로벌 금융 인프라로 커졌기 때문에 범죄자도 이를 악용하는 것입니다. 핵심은 금지가 아니라 관리입니다.

거래소의 AML, KYT, 트래블룰, 이상거래탐지, 온체인 분석, 투자자 교육이 정교해질수록 범죄 비용은 올라가고 시장 신뢰는 강화됩니다. 크립토 범죄 대응은 단순 규제 준수가 아니라, 디지털 자산 시장이 제도권 금융의 신뢰를 얻기 위한 핵심 조건입니다.

Sign up for more like this.

Enter your email
Subscribe