트론(Tron) 블록체인의 불법 지갑들이 보이는 독특한 시간적 거래 패턴을 분석하여 이상 행위를 탐지하는 연구로, 고객의 행동 리듬과 활동 시간대를 CRM에 활용하는 새로운 분석 차원을 제시한다.
논문 요약
- 논문 제목: The Investigation of Illicit Tron Wallet based on Temporal Behaviour Analysis
- 저자: D. U. Lawal 외
- 게재 학술지: ScienceDirect
- 발행 연도: 2024
- 핵심 요약: 트론(Tron) 블록체인에서 불법 활동에 연루된 지갑들의 시간적 행동 패턴(예: 특정 시간대에 집중된 거래, 주기적인 소액 입출금)을 분석하여, 정상적인 지갑과 구별되는 이상 징후를 탐지하는 모델을 개발했다.
연구 배경
블록체인의 투명성은 역설적으로 그 익명성 뒤에 숨은 불법 활동을 추적하는 새로운 기술, 즉 블록체인 포렌식의 발전을 촉진했다.
블록체인은 모든 거래 기록이 투명하게 공개되지만, 지갑 주소는 기본적으로 익명(pseudonymous)이기 때문에 누가 그 소유주인지는 알기 어렵다. 이러한 특성은 자금 세탁, 사기, 테러 자금 조달 등 다양한 불법 활동의 온상이 되기도 했다. 이에 따라 의심스러운 거래를 추적하고 불법 자금의 흐름을 파악하는 블록체인 포렌식(Blockchain Forensics) 및 자금세탁방지(AML, Anti-Money Laundering) 기술의 중요성이 날로 커지고 있다.
초기 분석 기법들은 주로 거래 관계망, 즉 어떤 주소가 다른 주소와 거래했는지를 분석하는 데 초점을 맞추었다. 하지만 본 연구는 여기서 한 차원 더 나아간다. 연구진은 불법 활동 주체들이 일반 사용자와는 다른 **시간적 행동 패턴(Temporal Behaviour)**을 보일 것이라는 가설을 세웠다. 예를 들어, 자동화된 봇(Bot)은 사람과 달리 24시간 내내 규칙적으로 활동할 수 있다. 이 연구는 이처럼 ‘언제’ 거래하는지를 분석하는 시계열 분석(Time-Series Analysis) 및 이상 탐지(Anomaly Detection) 기법을 블록체인 분석에 도입하여, 기존의 관계망 분석을 보완하는 새로운 탐지 방법을 제시하고자 했다.
해결하려는 문제
블록체인의 익명성을 악용하는 불법 지갑들을, 그들의 독특한 ‘시간적’ 행동 패턴을 포착하여 어떻게 효과적으로 식별하고 탐지해낼 것인가의 문제를 다룬다.
블록체인상의 불법 활동가들은 자신들의 흔적을 지우기 위해 믹서(Mixer)나 프라이버시 코인 등 다양한 기술을 사용하여 거래 경로를 복잡하게 만든다. 이 때문에 단순히 자금의 흐름만 추적해서는 불법 행위를 탐지하기가 점점 더 어려워지고 있다. 이 연구는 이러한 한계를 극복하기 위한 새로운 접근법을 모색한다.
연구의 핵심 질문은 “불법 지갑은 정상 지갑과 다르게 행동하지 않을까?”이며, 특히 그 ‘행동’을 ‘시간’이라는 차원에서 분석한다. 예를 들어, 정상적인 사람은 수면 시간에는 거래 활동이 줄어드는 반면, 사기를 위해 프로그래밍된 봇은 새벽에도 일정한 간격으로 활동할 수 있다. 이 연구는 이러한 미묘하지만 뚜렷한 ‘행동 리듬’의 차이를 데이터 기반으로 증명하고, 이를 통해 불법 지갑을 자동으로 식별해내는 모델을 개발하는 것을 목표로 한다. 이는 기존의 정적인 분석에서 동적인 행동 패턴 분석으로 나아가는 중요한 시도이다.
연구 모형
정상 지갑과 불법 지갑으로 레이블링된 데이터셋을 구축하고, 각 지갑의 거래 데이터를 시계열로 변환한 뒤, 다양한 시간적 특징을 추출하여 이상 탐지 모델을 학습시키는 지도 학습 모델을 사용한다.
본 연구는 알려진 데이터를 기반으로 모델을 학습시키는 지도 학습(Supervised Learning) 방식으로 진행된다. 연구 모영은 다음과 같은 절차로 구성된다.
- 데이터셋 구축: 트론 블록체인에서 대규모 거래 데이터를 수집한다. 이후, 이미 알려진 사기, 불법 갬블링 사이트와 연관된 지갑들을 ‘불법(Illicit)’으로, 그 외 일반 지갑들을 ‘정상(Normal)’으로 레이블링(Labeling)한다.
- 시계열 변환 및 특징 공학: 각 지갑의 모든 트랜잭션 기록을 시간 순서에 따라 나열된 시계열 데이터로 변환한다. 이후, 이 시계열 데이터로부터
시간대별 거래 빈도,거래 간 평균 시간,활동의 주기성등 시간과 관련된 다양한 특징(Temporal Features)들을 추출한다. - 모델 학습 및 평가: 추출된 시간적 특징들을 입력 변수로, ‘정상/불법’ 레이블을 결과 변수로 하여 분류(Classification) 모델을 학습시킨다. 학습된 모델이 새로운 지갑의 시간적 행동 패턴을 보고 얼마나 정확하게 불법 지갑을 예측하는지 정확도(Accuracy), 정밀도(Precision) 등의 지표로 성능을 평가한다.
데이터 설명
트론 블록체인에서 거래 기록을 수집하고, 알려진 불법 활동(사기, 갬블링 등)에 연루된 지갑 주소와 일반 지갑 주소를 레이블링하여 데이터셋을 구성했다.
- 출처: 트론(Tron) 블록체인 탐색기(예: Tronscan)에서 공개된 거래 데이터를 기반으로 한다. 불법 지갑 주소 목록은 기존의 연구, 언론 보도, 혹은 Chainalysis와 같은 블록체인 분석 기업의 공개 자료를 통해 확보한 것으로 추정된다.
- 수집 방법: 트론 블록체인의 풀 노드(Full Node) 또는 API를 통해 특정 기간의 모든 트랜잭션 데이터를 프로그래밍 방식으로 수집했다.
- 온체인 여부: 트론 블록체인에서 직접 수집한 온체인 데이터이다.
- 데이터 변수 설명: 이 연구의 핵심은 일반적인 트랜잭션 변수로부터 시간적 의미를 담은 새로운 변수를 파생시키는 데 있다.
- 기본 트랜잭션 변수 (Raw Transaction Variables)
타임스탬프 (Timestamp): 거래가 발생한 정확한 시간.거래 금액 (Amount),송신/수신 주소 (From/To Address)등.
- 시간적 특징 변수 (Derived Temporal Features): 이 연구의 핵심적인 분석 단위.
- 활동 시간대 (Time of Day): 거래가 하루 중 어느 시간대(아침, 점심, 저녁, 심야)에 주로 발생하는지를 나타내는 특징.
- 활동 요일 (Day of Week): 거래가 주중과 주말 중 언제 더 활발한지를 나타내는 특징.
- 거래 간 시간 (Inter-arrival Time): 연속된 두 거래 사이의 시간 간격 및 그 통계(평균, 표준편차 등).
- 활동 주기성 (Periodicity): 거래 활동이 특정 주기를 가지고 반복되는지 여부 (예: 매 시간 정각에 거래 발생).
- 활동량 (Activity Volume): 단위 시간(시간, 일) 당 발생하는 트랜잭션의 수.
- 기본 트랜잭션 변수 (Raw Transaction Variables)
데이터 분석
정상 지갑과 불법 지갑 그룹 간에 추출된 시간적 특징 값들의 통계적 차이를 비교하고, 이를 기반으로 불법 지갑을 분류하는 머신러닝 모델의 성능을 평가했다.
데이터 분석은 크게 두 단계로 진행되었다. 첫 번째는 **탐색적 데이터 분석(Exploratory Data Analysis)**으로, ‘정상’ 그룹과 ‘불법’ 그룹 간에 시간적 특징들이 실제로 차이를 보이는지 시각화와 통계적 검증을 통해 확인했다. 예를 들어, 두 그룹의 시간대별 거래량 분포 그래프를 그려보고, 그 분포가 통계적으로 유의미하게 다른지를 T-검정 등으로 확인하는 방식이다.
두 번째는 **예측 모델링(Predictive Modeling)**이다. 탐색적 분석을 통해 유의미하다고 판단된 시간적 특징들을 사용하여, 주어진 지갑이 불법일 확률을 예측하는 머신러닝 분류기를 학습시켰다. 이후, 미리 분리해 둔 테스트 데이터셋을 이용해 모델이 실제 환경에서 얼마나 불법 지갑을 잘 식별해내는지 정확도, 재현율(Recall) 등의 지표를 통해 객관적으로 성능을 측정하고 검증했다.
핵심 결과
불법 지갑은 정상 지갑과 통계적으로 유의미하게 다른 시간적 행동 패턴, 예를 들어 24시간 내내 주기적으로 활동하거나 매우 짧은 간격으로 거래를 반복하는 등의 특징을 보였다.
분석 결과, 연구진의 가설대로 불법 지갑과 정상 지갑은 뚜렷한 시간적 행동 차이를 나타냈다. 불법 지갑, 특히 자동화된 봇에 의해 운영되는 지갑들은 다음과 같은 특징을 보였다.
- 24시간 활동: 사람과 달리 수면이나 휴식 시간 없이 24시간 내내 꾸준히 거래를 발생시켰다.
- 높은 주기성: 매 시간 정각, 또는 매 10분 등 매우 규칙적인 간격으로 거래를 일으키는 패턴이 자주 발견되었다.
- 짧은 거래 간격: 자금 세탁 등의 목적으로 매우 짧은 시간 안에 수많은 트랜잭션을 연속적으로 발생시키는 경향이 있었다.
반면, 정상 지갑은 특정 시간대(예: 낮 시간)에 활동이 집중되고, 거래 간격이 불규칙하며, 주중과 주말의 활동량에 차이를 보이는 등 훨씬 더 ‘인간적인’ 패턴을 보였다. 이러한 차이를 학습한 모델은 높은 정확도로 불법 지갑을 식별해낼 수 있었다.
시사점
블록체인상의 불법 활동 탐지는 거래 관계망 분석뿐만 아니라, 지갑의 ‘행동 리듬’을 분석하는 시계열 접근법을 통해 더욱 정교해질 수 있다.
이 연구는 가상자산 거래소, 규제 기관, 법 집행 기관 등에게 중요한 실무적 시사점을 제공한다. 기존의 자금세탁방지(AML) 시스템은 주로 거래의 연결 고리나 특정 블랙리스트 주소와의 상호작용을 탐지하는 데 중점을 두었다. 하지만 이 연구는 여기에 ‘시간’이라는 새로운 분석 차원을 더할 수 있음을 보여준다. 이제 의심스러운 계정을 모니터링할 때, “누구와 거래했는가?” 뿐만 아니라 “언제, 어떤 리듬으로 거래했는가?”도 중요한 판단 기준이 될 수 있다. 이를 통해 알려지지 않은 새로운 유형의 불법 활동을 조기에 감지하고 예방하는 ‘행동 기반 이상 탐지 시스템’을 구축할 수 있는 가능성을 열었다.
인사이트
당신의 고객은 언제 활동하는가? 행동의 ‘리듬’이 새로운 고객 세그먼트를 정의한다.
AI 빅데이터 마케터의 관점에서 이 연구의 아이디어는 매우 흥미롭다. ‘불법 행위 탐지’라는 렌즈를 ‘고객 이해’라는 렌즈로 바꾸어보면, 시간적 행동 패턴은 고객을 훨씬 더 입체적으로 분류할 수 있는 강력한 도구가 된다. 모든 고객이 똑같은 시간에 활동하지 않으며, 그들의 ‘활동 리듬’은 그들의 라이프스타일과 페르소나를 반영하기 때문이다.
- 고객 페르소나 예시 (활동 시간 기반):
- ‘오피스 트레이더 (The 9-to-5 Trader)’: 이들의 USDC 거래 활동은 대부분 한국 시간 기준 오전 9시에서 오후 6시 사이에 집중된다. 이들은 DeFi 투자를 업무의 일부처럼 여기거나, 자산 관리에 매우 체계적인 성향을 가진 고관여 사용자일 가능성이 높다.
- ‘심야 게이머 (The Late-Night Gamer)’: 이들의 활동은 주중, 주말 할 것 없이 밤 10시 이후부터 새벽까지 가장 활발하다. 이들은 USDC를 GameFi 아이템 구매, 소셜 활동, 또는 해외 커뮤니티 활동 등 엔터테인먼트 목적으로 사용할 가능성이 크다.
- ‘자동화 파워 유저 (The Automated Power User)’: 이들의 거래는 24시간 내내, 특정 시간 간격으로 규칙적으로 발생한다. 이들은 차익거래 봇(Arbitrage Bot)을 운영하거나, 복잡한 투자 전략을 스크립트로 자동화한 최상위 전문가 그룹이다.
- 실질적인 마케팅 액션 제안:
- 시간 타겟팅 마케팅: ‘오피스 트레이더’에게는 오전에 시장 분석 리포트를 이메일로 보내고, 점심시간에 맞추어 새로운 디파이 상품 웨비나를 개최한다. ‘심야 게이머’에게는 저녁 시간에 맞추어 “오늘 밤 11시, 한정판 아이템 드랍!”과 같은 푸시 알림을 보낸다.
- 페르소나 맞춤형 서비스 제공: ‘오피스 트레이더’에게는 전문적인 차트와 분석 도구를 제공한다. ‘자동화 파워 유저’에게는 더 빠르고 안정적인 API 엔드포인트와 개발자 지원을 강화하여 B2B 고객처럼 관리한다.