Back to Blog

동결을 추적하다: USDT 블랙리스트의 온체인 분석과 테러 자금 조달과의 연관성

Phalcon
July 11, 2025
7 min read

소개

스테이블코인은 최근 몇 년간 급격한 성장을 보였습니다. 이에 따라 규제 당국은 불법 자금 동결을 가능하게 하는 메커니즘의 필요성을 점점 더 강조하고 있습니다. USDT와 USDC 같은 주요 스테이블코인은 이미 이러한 기능을 탑재하고 있음을 확인할 수 있습니다. 실제로 자금 세탁 및 기타 불법 활동과 연관된 자금이 성공적으로 동결된 사례가 다수 존재합니다.

더불어, 본 연구에 따르면 스테이블코인은 자금 세탁뿐만 아니라 테러 조직의 자금 조달에도 빈번하게 사용되고 있습니다. 따라서 이 블로그는 두 가지 관점에서 이 문제를 살펴보고자 합니다. 첫째, 동결된 USDT 거래를 체계적으로 분석합니다. 둘째, 동결된 자금이 테러 자금 조달과 어떻게 연관되어 있는지 조사합니다.

면책 조항: 본 분석은 공개적으로 이용 가능한 데이터만을 기반으로 하며 부정확한 내용이 포함될 수 있습니다. 의견이나 수정 사항이 있으시면 [email protected]으로 연락해 주시기 바랍니다.

USDT 차단 주소 분석

데이터 수집

블랙리스트에 등재된 Tether 주소를 식별하고 추적하는 방법론은 온체인 이벤트 직접 모니터링을 기반으로 합니다. Tether의 스마트 컨트랙트 소스 코드를 통해 확인된 프로세스는 다음과 같습니다:

  • 이벤트 식별: Tether의 스마트 컨트랙트가 두 가지 특정 이벤트를 발생시켜 블랙리스트를 관리한다는 것을 확인했습니다: 주소가 추가될 때 AddedBlackList, 주소가 제거될 때 RemovedBlackList.
  • 데이터셋 구성: 추출된 데이터는 종합적인 시계열 데이터셋을 구축하는 데 사용됩니다. 블랙리스트에 등재된 각 주소에 대해 다음 필드를 기록합니다: 주소 자체, 블랙리스트 등재 타임스탬프(blacklisted_at), 그리고 해당되는 경우 블랙리스트 해제 타임스탬프(unblacklisted_at).
function addBlackList (address _evilUser) public onlyOwner {
  isBlackListed[_evilUser] = true;
  AddedBlackList(_evilUser);
}

function removeBlackList (address _clearedUser) public onlyOwner {
  isBlackListed[_clearedUser] = false;
  RemovedBlackList(_clearedUser);
}

event AddedBlackList(address indexed _user);

event RemovedBlackList(address indexed _user);

주요 발견 사항

이더리움 및 트론 블록체인의 Tether(USDT) 데이터 분석 결과 주목할 만한 추세가 나타났습니다. 2016년 1월 1일 이후, 총 5,188개의 주소가 블랙리스트에 등재되어 29억 달러 이상의 자산이 동결되었습니다.

2025년 6월 13일부터 30일 사이에만 151개의 주소가 블랙리스트에 등재되었으며, 그 중 90.07%가 트론 네트워크에 해당합니다(주소 목록). 이 짧은 기간 동안 동결된 총 자산 가치는 무려 8,634만 달러에 달했습니다.

  • 블랙리스트 등재 이벤트의 시간적 분포: 블랙리스트 등재 활동의 최고점은 6월 15일, 20일, 25일에 관찰되었으며, 6월 20일에 하루에만 63개의 주소가 블랙리스트에 등재되어 가장 높은 수치를 기록했습니다.
  • 주소별 동결 자산 분포: 동결 잔액이 가장 많은 상위 10개 주소는 총 5,345만 달러를 보유하고 있으며, 이는 전체의 61.91%에 해당합니다. 평균 동결 금액(571,760달러)은 중앙값(40,010달러)보다 현저히 높아, 소수의 고액 주소가 지배적인 편향된 분포를 나타내며 대부분의 주소는 상대적으로 적은 동결 잔액을 보유하고 있습니다.
  • 생애주기 가치 분포: 이 주소들의 총 역사적 유입액은 8억 770만 달러이며, 그 중 7억 2,143만 달러는 집행 전에 송금되었고, 8,634만 달러가 동결되었습니다. 이는 대부분의 자금이 블랙리스트 등재 전에 이미 이동되었을 가능성을 시사합니다. 주목할 점은 블랙리스트에 등재된 주소의 17%가 아웃바운드 거래가 없었으며, 이는 임시 저장소 또는 집합 지점으로의 사용 가능성을 암시하여 향후 조사에서 추가적인 면밀한 검토가 필요합니다.
  • 새로 생성된 계정이 블랙리스트에 등재될 가능성이 가장 높음: 블랙리스트에 등재된 모든 주소 중 41%는 새로 생성된 주소(활동 기간 30일 미만)이며, 27%는 중기 활동(91~365일), 3%만이 장기 사용 이력(730일 이상)을 보였습니다. 이는 새로 생성된 계정이 불균형적으로 표적이 된다는 것을 나타냅니다.
  • 대부분의 계정이 "사전 동결 이탈"을 달성: 블랙리스트에 등재된 주소의 약 54%는 블랙리스트 등재 전에 이미 자금의 대부분(생애주기 유출액이 총 유입액의 90% 이상으로 정의)을 이전했습니다. 또한, 10%는 동결 시점에 잔액이 0이었습니다. 이러한 패턴은 집행 조치가 종종 불법 자금 흐름의 잔여 가치만을 포착하며, 대부분의 자산은 이미 세탁되거나 이동되었음을 시사합니다.
  • 신규 계정의 높은 세탁 효율성: FlowRatio 대 DaysActive 산점도에서 신규 계정은 수량과 블랙리스트 등재 빈도 면에서 지배적일 뿐만 아니라 가장 높은 세탁 효율성을 보여주며, 탐지 및 집행 전에 효과적으로 자금을 이전하는 것으로 나타났습니다.

자금 추적

MetaSleuth는 6월 13일부터 6월 30일 사이에 USDT에 의해 차단된 151개의 Tether 블랙리스트 주소를 추적하는 조사를 지원하여, 이 주소들과 관련된 주요 자금 제공자와 최종 목적지를 파악할 수 있었습니다.

자금의 출처

  • 내부 오염 (91개 주소): 상당수의 주소가 다른 블랙리스트 주소로부터 자금을 받았으며, 이는 고도로 상호 연결된 세탁 네트워크를 나타냅니다.
  • 가짜 피싱 태그 (37개 주소): 많은 업스트림 소스가 MetaSleuth에서 "가짜 피싱"으로 표시되어, 불법 활동을 숨기고 탐지를 피하기 위한 기만적인 태깅 전술의 사용을 시사합니다.

https://metasleuth.io/result/tron/THpNSa3BMNPPzVNTPZ6aTmRsVzGR6uRmma?source=26599be9-c3a9-42a6-a2ae-b6de72418003

  • 거래소 핫 월렛 (34개 주소): 자금 출처에는 알려진 거래소 핫 월렛—Binance(20개), OKX(7개), MEXC(7개)—이 포함되어 있으며, 이는 유입 자금이 중앙화 거래소의 해킹된 계정이나 머니 뮬 지갑에서 발생했을 수 있음을 시사합니다.
  • 단일 지배적 배포자 (35개 주소): 하나의 블랙리스트 주소가 업스트림 소스로 반복적으로 등장하며, 불법 자산을 배포하기 위한 중앙 자금 집합소 또는 믹서로 기능했을 가능성이 높습니다.
  • 크로스체인 진입점 (2개 주소): 일부 자금은 크로스체인 브리지에서 발생하여, 자금 흐름에 체인 간 세탁 메커니즘도 활용되었음을 시사합니다.

자금의 목적지

  • 다른 블랙리스트 주소로 (54개): 이 패턴은 네트워크 내 내부 세탁 루프의 존재를 강화합니다.
  • 중앙화 거래소로 (41개): 자금은 Binance(30개), Bybit(7개) 등 중앙화 거래소의 입금 주소를 통해 현금화되었습니다.
  • 크로스체인 브리지로 (12개): 크로스체인 전송 메커니즘을 활용하여 TRON 생태계를 넘어 자산을 세탁하려는 시도를 나타냅니다.

https://metasleuth.io/result/tron/TBqeWc1apWjp5hRUrQ9cy8vBtTZSSnqBoY?source=ddea74a3-fb52-4203-846a-c7be07fbb78d

특히, Binance와 OKX 같은 거래소는 거래 흐름의 양쪽 끝—유입 출처(핫 월렛을 통해)와 유출 목적지(입금 주소를 통해)—에 모두 등장하며, 자금 이동에서 이들의 핵심적인 역할을 강조합니다. 비효과적인 AML/CFT 집행과 자산 동결 지연이 결합되어, 규제 조치가 효력을 발휘하기 전에 불법 이전이 이루어졌을 수 있습니다.

우리는 주요 진입·출구 통로인 암호화폐 거래소가 이러한 위험을 선제적으로 완화하기 위해 보다 강력한 모니터링, 탐지 및 차단 메커니즘을 채택할 것을 권고합니다.

https://metasleuth.io/result/tron/TFjqBgossxvtfrivgd6mFVhZ1tLqqyfZe9?source=7ba5d0da-d5b5-41ab-b54c-d784fb57f079

테러 자금 조달 분석

테러 자금 조달과 잠재적으로 연관된 USDT 활동에 대한 심층적인 통찰을 얻기 위해, 이스라엘의 국가테러자금조달대응국(NBCTF)이 발행한 행정 압류 명령 등 공식 문서를 검토했습니다. 단일 데이터 소스가 완전한 그림을 제공하지 못한다는 점을 인정하면서도, 우리는 이 데이터셋을 테러 자금 조달에 잠재적으로 관련된 USDT의 보수적 하한선을 이해하기 위한 대표적 사례 연구로 활용합니다.

주요 발견 사항

NBCTF 발행 문서 검토를 통해 몇 가지 핵심 발견 사항이 도출되었습니다:

  • 압류 명령의 시기: 2025년 6월 13일 이스라엘-이란 갈등 고조 이후 단 하나의 새로운 압류 명령만이 발행되었으며, 6월 26일자입니다. 그 이전 가장 최근의 명령은 6월 8일에 발행되었으며, 긴장이 고조됨에도 불구하고 눈에 띄는 지연이 있었습니다.
  • 2024년 10월 7일 이후의 빈도 및 표적: 이스라엘-팔레스타인 분쟁 발발 이후 8건의 압류 명령이 발표되었습니다. 이 중 4건은 "하마스"를 명시적으로 표적으로 지목하고 있으며, 가장 최근의 명령 하나만이 "이란"을 언급하고 있습니다.
  • 표적 자산의 범위: 결합된 명령은 다음을 포함한 광범위한 자산을 표적으로 삼았습니다:
    • USDT(트론) 주소 76개
    • BTC 주소 16개
    • 이더리움 주소 2개
    • Binance 계정 641개
    • OKX 계정 8개

**76개의 USDT 트론 주소**에 대한 온체인 조사를 통해 NBCTF 압류 명령 대비 Tether의 대응에 관한 중요한 운영적 통찰이 밝혀졌습니다. 두 가지 뚜렷한 패턴이 나타났습니다:

  • 선제적 블랙리스트 등재: Tether는 해당 압류 명령의 공개 발표 이전에 이미 17개의 하마스 연계 주소를 블랙리스트에 등재했습니다. 이러한 선제적 조치는 평균 28일 앞서 이루어졌으며, 가장 이른 사례는 공식 발표 45일 전에 실행되었습니다.
  • 신속한 대응: 공개 발표 시점에 블랙리스트에 없던 나머지 주소들에 대해 Tether는 신속하게 대응했습니다. 압류 명령 이후 블랙리스트 등재까지의 평균 시간은 2.1일로, 공식 지시에 대한 신속한 운영 처리를 보여줍니다.

이러한 발견은 스테이블코인 발행사(Tether)와 법 집행 기관 간의 긴밀하고 경우에 따라서는 선제적인 협력을 시사하며, 암호화폐가 규제 및 보안 감독의 범위 밖에서 완전히 운영된다는 일반적인 인식에 도전합니다.

결론 및 AML/CFT 과제

본 조사는 USDT와 같은 스테이블코인이 거래 투명성과 통제를 위한 강력한 도구를 제공하는 동시에, 자금 세탁 방지(AML) 및 테러 자금 조달 대응(CFT) 집행에 있어 새로운 과제를 제기한다는 것을 보여줍니다. 상호 연결된 세탁 루프, 크로스체인 난독화, 지연된 집행 조치, 그리고 중앙화 거래소의 악용은 현재 컴플라이언스 생태계의 구조적 취약점을 부각시킵니다.

몇 가지 핵심 과제가 두드러집니다:

  • 사후적 대 선제적 집행: Tether가 선제적·사후적 블랙리스트 등재 행동 모두를 보였지만, 대부분의 AML/CFT 조치는 여전히 사후 조치에 의존하여 불법 행위자들이 개입 전에 상당한 자금을 이동할 수 있도록 허용합니다.
  • 거래소의 사각지대: 중앙화 거래소는 세탁 파이프라인의 핵심 부분으로 남아 있으며, 종종 진입점과 출구점 모두로 나타납니다. 이러한 게이트웨이에서의 불충분한 모니터링이나 느린 대응 시간으로 인해 의심스러운 자금 흐름이 대체로 방해받지 않고 지속됩니다.
  • 크로스체인 세탁의 복잡성: 브리지와 멀티체인 인프라의 사용은 추적 가능성을 복잡하게 만들며, 불법 행위자들은 컴플라이언스 검사를 우회하기 위해 규제가 덜한 생태계와 브리지 기반 난독화를 점점 더 많이 악용하고 있습니다.

이러한 문제들을 해결하기 위해, 생태계 참여자—특히 스테이블코인 발행사, 거래소, 규제 당국—가 협력적 인텔리전스 공유를 강화하고, 실시간 행동 분석에 투자하며, 크로스체인 컴플라이언스 프레임워크를 구현할 것을 권고합니다. 시의적절하고 조율된 기술적으로 정교한 AML/CFT 노력을 통해서만 스테이블코인 생태계의 적법성과 안전성을 효과적으로 보호할 수 있습니다.

BlockSec의 노력

BlockSec은 암호화폐 생태계의 보안과 규제 회복력을 향상시키는 데 전념하고 있습니다. 자금 세탁 방지(AML) 및 테러 자금 조달 대응(CFT) 분야에서의 우리의 노력은 실행 가능한 인텔리전스, 선제적 탐지, 추적 가능한 집행 메커니즘을 가능하게 하는 데 초점을 맞추고 있습니다.

첫째, Phalcon Compliance 플랫폼은 거래소, 규제 당국, 금융 기관 및 암호화폐 프로젝트(암호화폐 결제 및 DEX 포함)가 의심스러운 활동을 실시간으로 탐지할 수 있도록 설계되었습니다. 여러 체인에 걸쳐 온체인 위험 점수, 거래 모니터링 및 주소 검색을 제공하여 기관이 컴플라이언스 요건을 충족하는 데 도움을 줍니다.

이와 함께, 온라인 조사 도구인 MetaSleuth는 분석가와 일반 대중 모두가 직관적인 시각화와 크로스체인 추적을 통해 불법 자금 흐름을 추적할 수 있도록 지원합니다. MetaSleuth는 이미 금융 규제 당국, 법 집행 기관, 글로벌 컨설팅 기업 등 전 세계 100개 이상의 집행 및 컴플라이언스 기관에서 채택되었습니다.

이 두 도구는 우리의 사명을 반영합니다: 블록체인 투명성과 규제 집행 사이의 간극을 좁히는 동시에, 탈중앙화 금융 시스템의 무결성을 보호하는 것입니다.