Back to Blog

암호화폐 자금세탁 사례: 3가지 실제 사건과 그 시사점

Phalcon Compliance
July 17, 2026
5 min read

7,400 ETH가 믹서를 통해 세탁되었습니다. 20홉 브리지 공격이 두 시간 만에 실행되었습니다. 151개의 주소가 테러 자금 조달로 블랙리스트에 올랐습니다. 이것은 세 가지 실제 암호화폐 세탁 사례로, 각각 영구적인 온체인 흔적을 남겼습니다. 아래 사례들은 믹서 기반 세탁, DeFi 브리지 공격, 스테이블코인 테러 자금 조달을 다루며, 각각 자금 세탁의 작동 방식에 대한 구체적인 내용을 드러냅니다. 또한 각 사례는 컴플라이언스 시스템이 탐지해야 할 사항을 보여줍니다.

이 사례들은 문서화된 법 집행 조치, 공개된 블록체인 연구, 그리고 온체인 분석에서 도출되었습니다. 이는 단순한 정의 이상을 필요로 하는 컴플라이언스 전문가를 위한 것입니다.


컴플라이언스 팀에게 암호화폐 사례가 중요한 이유

자금 세탁 사례는 단순한 역사적 기록이 아닙니다. 이는 컴플라이언스 직관을 위한 훈련 데이터입니다. 리스크 팀이 탐지 로직을 구축하고, 스크리닝 임계값을 설정하며, 어떤 주소 행동이 에스컬레이션을 정당화하는지 결정하는 근거가 됩니다.

암호화폐 세탁 사례는 온체인 거래가 영구적으로 기록되기 때문에 특히 교훈적입니다. 제한된 문서 증거만 남기는 현금 세탁과 달리, 블록체인 세탁은 완전한 감사 추적을 남깁니다. 문제는 증거가 존재하는지 여부가 아닙니다. 문제는 컴플라이언스 도구가 그것을 읽도록 구축되어 있는지 여부입니다.

DOJ의 자금 세탁 개요는 법적 프레임워크를 설명합니다. 아래 사례들은 그 프레임워크가 실제로 무엇을 마주치는지 보여줍니다.


사례 1: 믹서 기반 세탁 (토네이도 캐시 사건)

토네이도 캐시는 탈중앙화된 이더리움 믹서입니다. 사용자들은 ETH를 표준 단위로 예치하고 새로운 주소에서 동일한 금액을 인출함으로써 송신자와 수신자 사이의 온체인 연결을 끊습니다. 이는 미국 재무부가 2022년 8월 제재를 가하기 전까지 여러 범죄 집단이 선호하는 레이어링 도구가 되었습니다.

MetaSleuth는 토네이도 캐시를 통해 약 7,400 ETH(약 3,000만 달러)를 추적하여 Kraken, SimpleSwap, Binance를 통한 자금 흐름을 매핑했습니다. 이 사례는 사전 예치 스크리닝이 왜 중요한지를 보여줍니다. 그 7,400 ETH는 절대로 믹서 플랫폼에 들어가서는 안 되었습니다.

사례 1: 믹서 기반 세탁 (토네이도 캐시 사건)
사례 1: 믹서 기반 세탁 (토네이도 캐시 사건)

미국 재무부의 토네이도 캐시 제재 조치는 개인뿐만 아니라 스마트 계약도 제재 대상이 될 수 있다는 것을 확립했습니다. 지정일 이후 제재된 스마트 계약과 상호작용하는 모든 주소는 그 자체로 연루될 수 있습니다.

이 사례가 드러내는 것: 믹서 노출이 항상 직접적인 예치를 수반하는 것은 아닙니다. 자금은 두세 홉 이전에 믹서를 통과한 후 거래소에 도달할 수 있습니다. 가장 최근 홉뿐만 아니라 전체 이력을 통해 자금을 추적하는 크로스체인 추적이 믹서 노출을 탐지하는 데 필요합니다.

피그 버처링 사기 및 바이비트 해킹과 관련된 추가 문서화 사례는 당사의 관련 자료인 자금 세탁이란 무엇인가? 및 자금 세탁의 의미를 참조하십시오.


사례 2: DeFi 브리지 공격 (LI.FI 20홉 사건)

LI.FI 익스플로잇은 탈취된 자금이 DeFi 인프라를 통해 기계 속도로 이동하는 방식을 보여줍니다. LI.FI 공격에서 탈취된 자금은 2시간 이내에 32개의 다운스트림 주소로 이동되었습니다. MetaSleuth는 가장 긴 경로를 20홉 깊이까지 추적했으며, 일부는 토네이도 캐시로 흘러들어갔습니다. (BlockSec, LI.FI 공격 사례 연구)

사례 2: DeFi 브리지 공격 (LI.FI 20홉 사건)
사례 2: DeFi 브리지 공격 (LI.FI 20홉 사건)

두 시간 만에 20홉. 수동 컴플라이언스 검토는 그러한 속도로 운영되지 않습니다. 어떤 인간 조사관이 자금을 추적하기 시작할 때쯤이면, 레이어링은 구조적으로 완성되어 있습니다.

이 사례가 드러내는 것: DeFi 브리지 공격은 복잡하지만 온체인에서 완전히 읽을 수 있는 레이어링을 생성합니다. 자금은 사라지지 않습니다; 이동할 뿐입니다. 무제한 홉 깊이와 크로스체인 추적을 지원하는 추적 도구는 전체 경로를 재구성할 수 있습니다. 컴플라이언스 시사점은 거래소 스크리닝이 직접적인 거래 상대방뿐만 아니라 리스크 연결 클러스터 내의 모든 주소를 플래그 처리해야 한다는 것입니다.


사례 3: 스테이블코인 세탁 및 테러 자금 조달 (151개 블랙리스트 주소)

암호화폐를 통한 테러 자금 조달은 상업적 자금 세탁과 유사한 기술적 패턴을 따르지만, 그 위험성은 다릅니다. 테러 자금 조달과 연관된 자산 동결은 강화된 규제 감시를 수반하며 더 광범위한 플랫폼 수준의 검토를 촉발할 수 있습니다.

사례 3: 스테이블코인 세탁 및 테러 자금 조달 (151개 블랙리스트 주소)
사례 3: 스테이블코인 세탁 및 테러 자금 조달 (151개 블랙리스트 주소)

2025년 6월 13일~30일 USDT 블랙리스팅에 대한 BlockSec 분석 결과:

  • 151개의 블랙리스트 주소가 동결되었으며, 총 약 8,634만 달러에 달합니다.

  • **블랙리스트 주소의 90%**가 트론 네트워크에 있었습니다.

  • 업스트림 예치 출처에는 **바이낸스(20개 주소), OKX(7개), MEXC(7개)**가 포함되었습니다.

  • 하마스 연계 지갑이 동결된 주소 중에 포함되어 있었습니다.

(BlockSec, USDT 테러 자금 조달 분석)

FATF 가상 자산 2025 업데이트는 가상 자산 사기의 현저한 증가와 테러 자금 조달과의 연관성을 구체적으로 언급합니다. FATF의 업데이트된 지침은 가상 자산 서비스 제공업체(VASP)가 상업적 사기 패턴뿐만 아니라 제재 노출과 테러 자금 조달 지표 모두에 대해 스크리닝하도록 요구합니다.

대규모로 USDT를 처리하는 플랫폼의 경우, 디지털 화폐 주소에 관한 OFAC 지침은 블랙리스트 주소와의 간접적인 거래도 미국 법에 따라 제재 위반을 구성할 수 있다는 점을 명확히 합니다.

이 사례가 드러내는 것: 업스트림 거래소 데이터가 특히 중요합니다. 151개의 블랙리스트 주소 중 20개는 바이낸스와 이전 상호작용이 있었습니다. 각 7개는 OKX 및 MEXC와 이전 상호작용이 있었습니다. 이것은 해당 거래소들이 공모했다는 의미가 아닙니다. 블랙리스트 주소가 주요 플랫폼에서 예치 이력을 가지고 있었다는 것을 의미합니다. 이는 온보딩 시점의 스크리닝뿐만 아니라 지속적인 모니터링의 중요성을 강조합니다.


관련 운영 확인을 위해 BlockSec의 USDT 동결 확인기를 통해 컴플라이언스 팀은 트론 또는 이더리움 USDT 주소가 Tether에 의해 동결되었는지 확인할 수 있으며, 이는 사례 3에 표시된 블랙리스팅 유형과 직접적으로 관련이 있습니다.


이러한 사례들이 귀하의 플랫폼에 의미하는 바

세 가지 사례. 세 가지 다른 세탁 메커니즘. 하나의 공통 실마리: 모든 사례는 목적에 맞게 구축된 도구가 탐지할 수 있는 온체인 증거를 남겼습니다.

사례 금액 주요 방법 세탁 단계 탐지 방법 컴플라이언스 시사점
토네이도 캐시 네트워크 약 3,000만 달러 추적 (MetaSleuth 분석) 믹서 예치, 다중 거래소 레이어링 레이어링 사전 예치 믹서 노출 스크리닝 사전 예치 스크리닝 없이는 믹서 연결 자금이 플랫폼에 유입되어 다운스트림 압류 노출을 초래함
LI.FI 브리지 공격 미공개 32개 주소, 20홉 체인, 크로스체인 레이어링 심층 홉 크로스체인 추적 배치 전용 스크리닝은 전체 레이어링 경로를 놓침; 재구성을 위해 실시간 크로스체인 추적이 필요
USDT 테러 자금 조달 151개 주소 블랙리스트 (2025년 6월) 트론 기반 USDT, 거래소 예치 배치 블랙리스트 모니터링 + 업스트림 거래소 분석 블랙리스트된 업스트림 주소의 자금 처리는 홉 수에 관계없이 제재 노출을 유발함

거래소 및 VASP의 AML 컴플라이언스가 실제로 어떻게 작동하는지에 대한 자세한 내용은 암호화폐 AML 컴플라이언스를 참조하십시오.

자주 묻는 질문

Q: 암호화폐 플랫폼이 세탁된 자금을 무의식적으로 처리하다가 나중에 확인된 경우, 플랫폼의 법적 노출은 어떻게 됩니까?

플랫폼의 책임은 거래 당시 기능하는 AML 프로그램을 보유하고 있었는지 여부에 따라 달라집니다. FinCEN 지침에 따라, 합리적인 스크리닝 절차를 유지하고 적절한 경우 SAR을 제출한 플랫폼은 면책 조항을 받을 수 있습니다. AML 통제가 전혀 없는 플랫폼은 민사 금전 제재에 직면하며, FinCEN은 최근 법 집행 조치에서 100만 달러에서 1억 달러 이상에 이르는 금액을 부과했습니다. 소급 구제는 과거의 노출을 제거하지 않습니다.

Q: 의심 거래 보고서(SAR) 제출 시 보고 대상 개인 또는 단체에게 통보됩니까?

아니요. 31 U.S.C. § 5318(g)(2)에 따라, 금융 기관은 SAR의 대상자에게 보고서가 제출되었다는 사실을 명시적으로 공개하는 것이 금지되어 있습니다. 이 기밀 요건을 위반하는 것 자체가 연방 범죄입니다. 대상자는 자신이 신고되었다는 것을 알 법적 권리가 없으며, 기관은 질문을 받았을 때 SAR의 존재를 확인하거나 부인할 수 없습니다.

Q: 일회용 지갑 주소를 교체하면 온체인 컴플라이언스 스크리닝을 안정적으로 회피할 수 있습니까?

클러스터 기반 분석에서는 불가능합니다. 블록체인 분석 시스템은 공통 입력, 타이밍 상관관계, 예치 주소 재사용 등 공유 거래 패턴으로 주소를 그룹화합니다. 세탁자가 수백 개의 새로 생성된 주소로 교체하더라도, 행동 클러스터링은 해당 주소들을 알려진 주체 또는 리스크 클러스터와 연결할 수 있습니다. LI.FI 공격의 32개 다운스트림 주소는 각 주소가 새로 생성되어 한 번만 사용되었음에도 불구하고, 익스플로잇 발생 후 몇 시간 내에 이 방식으로 매핑되었습니다.

→ Phalcon 컴플라이언스 데모를 예약하고 이 세 가지 세탁 패턴이 결제 전에 플래그 처리되는 것을 확인하세요 — 데모 예약

자주 묻는 질문
자주 묻는 질문

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Phalcon Compliance