블록체인 거래 데이터와 소셜 네트워크 분석을 결합하여, 익명성 뒤에 숨은 불법 행위자들의 행동 패턴과 관계망을 추적하고 프로파일링하는 디지털 포렌식 기법을 제시한다.
논문 요약
- 논문 제목: Behavioral Analysis and User Profiling in Forensic Investigations using Blockchain Data
- 저자: S. V. Athawale, N. V. Dharwadkar
- 게재 학술지: IGI Global
- 발행 연도: 2023
- 핵심 요약: 블록체인상의 불법 행위를 추적하기 위한 포렌식 방법론을 제안했다. 온체인 거래 기록과 오프체인 소셜 네트워크 활동을 통합 분석하고, 특히 소셜 네트워크 분석(SNA) 기법을 활용하여 불법 행위자들의 네트워크 구조와 핵심 인물을 식별하는 프로파일링 기법을 탐구했다.
연구 배경
이 연구는 블록체인의 투명성이 범죄자에게는 ‘지워지지 않는 증거’가 될 수 있다는 역설을 보여주며, 첨단 데이터 과학이 어떻게 법 집행과 사회 안전에 기여할 수 있는지를 탐구한다.
블록체인 기술은 탈중앙성과 익명성이라는 특성 때문에 초기부터 자금 세탁, 사기, 불법 거래 등 다양한 범죄 활동에 악용될 가능성에 대한 우려를 낳았다. 범죄자들은 여러 개의 지갑을 사용하거나, 믹서(Mixer)와 같은 프라이버시 강화 기술을 통해 자신들의 자금 흐름을 숨기려고 시도한다.
이러한 범죄에 대응하기 위해, 디지털 포렌식(Digital Forensics) 분야에서는 블록체인 데이터를 새로운 증거의 보고로 주목하기 시작했다. 블록체인에 기록된 모든 거래는 공개되어 있고 영원히 삭제할 수 없기 때문이다. 이 연구는 여기서 한 걸음 더 나아간다. 단순히 개별 거래를 추적하는 것을 넘어, **소셜 네트워크 분석(Social Network Analysis, SNA)**이라는 기법을 도입한다. SNA는 사람이나 집단 간의 ‘관계’와 ‘상호작용’을 네트워크 구조로 시각화하고 분석하는 방법론이다. 이 연구는 블록체인 지갑들을 하나의 ‘사회적 네트워크’로 보고, 그 관계망 속에서 범죄자들의 패턴과 핵심 인물을 찾아내는 것을 목표로 한다.
해결하려는 문제
익명성 뒤에 숨은 블록체인상의 불법 행위자들을 추적하고, 그들의 관계망과 행동 패턴을 분석하여 신원을 프로파일링한다.
블록체인 포렌식의 가장 큰 어려움은 ‘익명성’이다. 지갑 주소는 임의의 문자열로 이루어져 있어, 그 주소의 소유주가 누구인지 직접적으로 알기 어렵다. 범죄 조직은 수백, 수천 개의 지갑을 동원하여 복잡하게 자금을 이동시키기 때문에, 단순히 돈의 흐름을 쫓는 것만으로는 전체 범죄 네트워크의 실체를 파악하기 힘들다.
이 연구가 해결하려는 문제는 바로 이 지점에 있다. 개별 지갑(점)을 넘어, 지갑과 지갑 간의 거래 관계(선)를 분석하여 전체 **네트워크(Network)**를 파악하는 것이다. 이를 통해 ▲누가 이 네트워크의 중심(Kingpin)에 있는지 ▲어떤 하위 그룹(Cells)들이 존재하는지 ▲자금 세탁의 주요 경로는 어디인지 등을 식별하고, 궁극적으로는 익명성 뒤에 숨은 범죄자 그룹 전체를 프로파일링하는 것을 목표로 한다.
연구 모형
온체인 거래 데이터와 오프체인 소셜 네트워크 데이터를 통합하고, 소셜 네트워크 분석(SNA) 기법을 적용하여 불법 행위자들의 네트워크 구조와 핵심 인물을 식별한다.
본 연구는 불법 행위자 프로파일링을 위해 온체인과 오프체인 데이터를 결합하는 통합 분석 모델을 제안한다.
- 데이터 통합 (Data Integration): 수사 대상이 되는 지갑 주소와 관련된 모든 온체인 거래 기록을 수집한다. 동시에, 해당 지갑 주소가 언급되거나 연관된 오프체인 소셜 미디어 활동 (예: 특정 포럼의 게시글, 트위터 계정) 데이터를 수집하여 두 데이터를 연결한다.
- 네트워크 구축 (Network Construction): 수집된 데이터를 기반으로 ‘관계망 그래프’를 구축한다. 이 그래프에서 **노드(Node)**는 개별 지갑 주소나 소셜 미디어 계정이 되고, **엣지(Edge)**는 이들 간의 거래나 상호작용(예: 멘션, 팔로우)이 된다.
- 소셜 네트워크 분석 (SNA): 구축된 그래프에 SNA 알고리즘을 적용한다.
- 중심성 분석 (Centrality Analysis): 네트워크에서 가장 많은 연결을 갖거나(연결 중심성), 정보 흐름의 길목에 위치한(매개 중심성) 핵심 노드를 식별한다.
- 커뮤니티 탐지 (Community Detection): 전체 네트워크 내에서 유독 서로 간의 거래가 잦은 하위 그룹, 즉 범죄 조직 내의 ‘소모임’이나 ‘팀’을 자동으로 찾아낸다.
데이터 설명
수사 대상이 되는 특정 지갑 주소와 관련된 블록체인 거래 데이터 및 공개된 소셜 미디어 활동 데이터를 활용한다.
- 출처: 이 연구는 두 가지 종류의 데이터를 종합적으로 활용하는 하이브리드 접근법을 취한다.
- 온체인 데이터: 이더스캔(Etherscan)과 같은 블록체인 탐색기나 블록체인 노드에서 직접 추출한 거래 기록.
- 오프체인 데이터: 트위터, 텔레그램, 레딧, 다크웹 포럼 등 용의자들이 활동하는 공개된 웹 플랫폼의 데이터.
- 수집 방법: 블록체인 데이터는 노드에 직접 질의하거나 공개 API를 통해 수집하고, 소셜 미디어 데이터는 각 플랫폼의 API나 웹 스크레이핑 기술을 통해 수집한다.
- 데이터 변수 설명: 포렌식 관점에서, 다음과 같은 변수 그룹을 활용하여 용의자를 분석한다.
- 온체인 거래 패턴 (On-Chain Transactional Patterns)
Transaction Flow: 자금의 출처와 목적지.Use of Mixers: 토네이도 캐시(Tornado Cash)와 같은 자금 세탁용 믹싱 서비스 사용 여부.Interaction with Blacklisted Addresses: 이미 알려진 사기, 해킹 관련 지갑 주소와의 거래 여부.
- 네트워크 구조 지표 (Social Network Analysis Metrics)
Degree Centrality: 특정 지갑이 얼마나 많은 다른 지갑과 직접적으로 거래했는지. (네트워크 내 ‘마당발’ 정도)Betweenness Centrality: 특정 지갑이 네트워크 내 다른 지갑들을 연결하는 ‘다리’ 역할을 얼마나 하는지. (자금 흐름의 ‘허브’ 역할)Community ID: 커뮤니티 탐지 알고리즘을 통해 식별된 소속 하위 그룹 ID.
- 온체인 거래 패턴 (On-Chain Transactional Patterns)
데이터 분석
거래 흐름 분석과 소셜 네트워크 분석(SNA)을 결합하여, 개별 행위자를 넘어 불법 행위자 ‘그룹’의 구조와 계층을 파악하고 핵심 인물을 특정한다.
이 연구에서 제안하는 데이터 분석은 개별 용의자의 행동을 넘어, 그들이 속한 ‘조직’의 구조를 밝히는 데 초점을 맞춘다. 전통적인 포렌식 분석이 용의자 A의 계좌 입출금 내역을 보는 것이었다면, 이 연구의 분석은 용의자 A, B, C, D… Z의 모든 계좌 간의 관계를 한눈에 볼 수 있는 ‘관계망 지도’를 그리는 것과 같다.
**소셜 네트워크 분석(SNA)**은 이 지도를 수학적으로 해석하는 도구이다. 예를 들어, 네트워크의 중심에 위치하며 가장 많은 거래를 중개하는 지갑은 조직의 ‘자금 관리책’일 가능성이 높다. 또한, 외부의 깨끗한 자금이 유입되어 여러 단계를 거친 후 특정 지갑으로 모이는 흐름이 포착된다면, 이는 정교하게 설계된 자금 세탁 과정일 수 있다. 이처럼 SNA를 통해 수사관은 수많은 거래 데이터 속에서 핵심적인 인물과 비정상적인 자금 흐름을 효율적으로 식별하고 수사력을 집중할 수 있다.
핵심 결과
온체인 거래 패턴과 오프체인 소셜 네트워크를 결합하여 분석하는 것은, 단일 데이터 소스만 활용할 때보다 훨씬 더 정확하게 불법 행위자를 프로파일링하고 그들의 관계망을 밝혀낼 수 있음을 보여주었다.
이 연구의 핵심 결론은 데이터 융합의 시너지 효과이다. 온체인 데이터는 ‘무엇을(What)’ 했는지에 대한 객관적이고 불변하는 증거를 제공하지만, ‘누가(Who)’ 그리고 ‘왜(Why)’ 했는지에 대한 정보는 부족하다. 반면, 오프체인 소셜 미디어 데이터는 그 ‘누가’와 ‘왜’에 대한 중요한 단서를 제공할 수 있다.
예를 들어, 특정 지갑 주소가 온체인에서 해킹 자금을 수신한 기록이 발견되었을 때, 동일한 지갑 주소가 특정 다크웹 포럼에서 해킹 기술에 대해 논의한 기록이 발견된다면, 이 두 데이터는 서로를 보강하며 매우 강력한 증거가 된다. 이처럼 온체인과 오프체인 데이터를 결합하는 통합적인 접근법은, 흩어져 있던 퍼즐 조각들을 맞춰 범죄의 전체 그림을 완성하는 것과 같은 효과를 낳는다.
시사점
블록체인 분석 기술은 마케팅이나 투자 분석을 넘어, 자금세탁방지(AML), 사이버 범죄 수사, 규제 준수 등 사회 안전과 법 집행 영역에서 핵심적인 역할을 수행한다.
이 연구는 온체인 데이터 분석 기술이 가진 엄청난 확장성과 사회적 중요성을 명확히 보여준다. 우리가 마케팅을 위해 고객의 행동 패턴을 분석하는 기술은, 관점을 조금만 바꾸면 금융 사기를 탐지하고 자금 세탁을 방지하는 강력한 무기가 될 수 있다.
이는 체이널리시스(Chainalysis), 엘립틱(Elliptic)과 같은 블록체인 분석 기업들이 규제 기관 및 법 집행 기관과 긴밀하게 협력하는 이유이기도 하다. 블록체인 생태계가 건전하게 성장하기 위해서는, 기술의 자유로운 발전과 함께 그 기술을 악용하는 행위를 효과적으로 감시하고 방지하는 ‘레그테크(RegTech, 규제 기술)’ 의 발전이 반드시 병행되어야 한다. 이 논문은 데이터 과학이 그 중심에서 핵심적인 역할을 수행할 것임을 시사한다.
인사이트
지갑은 혼자 존재하지 않는다. 모든 지갑은 관계 속에 있다.
이 논문의 핵심 철학은 개별 지갑을 고립된 점으로 보지 않고, 다른 지갑들과의 ‘관계’ 속에서 그 의미를 파악하는 것이다. AI 빅데이터 마케터의 관점에서 이 소셜 네트워크 분석(SNA) 기법을 CRM에 적용하면, 기존에는 볼 수 없었던 새로운 차원의 고객 페르소나와 마케팅 기회를 발견할 수 있다.
- 고객 페르소나 예시 (Web3 CRM 관점): “커뮤니티 리더 (The Community Leader)”
- 행동 특성: 이 사용자의 지갑은 보유 자산이나 거래액이 최상위권은 아니다. 하지만 USDC 거래 관계망을 그래프로 분석해보면, 이 지갑이 특정 커뮤니티(예: 특정 P2E 게임 길드) 내에서 가장 많은 연결(Degree Centrality)을 가지거나, 가장 높은 페이지랭크(PageRank) 점수를 기록한다. 즉, 수많은 다른 지갑들이 이 지갑과 거래를 주고받는 ‘허브’ 역할을 한다.
- 해석: 이 사용자는 단순한 개인이 아니라, 특정 커뮤니티 내에서 신뢰를 받는 온체인 인플루언서 또는 길드 마스터이다. 이들의 가치는 자신의 자산 규모가 아니라, 다른 수많은 구성원들의 행동에 미치는 ‘영향력’에서 나온다.
- 실질적인 마케팅 액션 제안 (Web3 CRM)
- 앰배서더 프로그램 타겟팅: 새로운 dApp이나 게임을 출시할 때, ‘커뮤니티 리더’ 페르소나로 식별된 사용자들에게 가장 먼저 접촉하여 앰배서더(Ambassador) 프로그램을 제안한다. 이들에게 특별한 권한과 리워드를 제공함으로써, 이들이 자신의 커뮤니티에 자발적으로 제품을 홍보하고 전파하는 바이럴 효과를 창출한다.
- ‘길드 단위’ 프로모션: ‘커뮤니티 리더’의 지갑 주소와 직접적으로 연결된(1-hop) 다른 지갑들에게만 “OOO 길드원 특별 혜택!”과 같은 단체 프로모션을 제공한다. 이는 커뮤니티의 소속감과 충성도를 높이는 동시에, 마케팅 효율을 극대화한다.
- 핵심 인물 이탈 관리: 만약 ‘커뮤니티 리더’가 활동을 중단하거나 경쟁 프로젝트로 자산을 옮기는 정황이 포착되면, CRM 시스템이 이를 ‘고위험 이벤트’로 감지하고 즉시 담당자에게 알린다. 담당자는 이들에게 직접 연락하여 문제점을 파악하고 해결책을 제시함으로써, 한 명의 이탈이 커뮤니티 전체의 붕괴로 이어지는 것을 막는다.