온체인 금융범죄는 어떻게 세탁되는가 — FRAML이 필요한 이유
작성일
2026.06.302025년 2월, 약 15억 달러 규모의 바이빗(Bybit) 해킹이 발생했습니다. 탈취된 자금은 몇 분 만에 DEX에서 스왑되고, 토르체인(THORChain)을 통해 다른 체인으로 이동했으며, 밈코인 거래와 뒤섞인 뒤 CEX로 흘러들었습니다. 주소 기반 탐지만으로는 이 흐름의 어느 지점도 온전히 포착하기 어렵습니다.
람다256과 서울대학교 블록체인 학회 디사이퍼(Decipher)가 이 문제를 정면으로 다룬 리서치를 발간했습니다.
온체인 자금세탁, 무엇이 달라졌는가
최근 온체인 자금세탁은 단일 기법에 의존하지 않습니다. 사례를 통해 확인된 주요 세탁 경로는 다음과 같습니다.
- 프라이버시 프로토콜 (Tornado Cash, Railgun): 고정 금액 단위로 입출금을 분리해 입금 주소와 출금 주소의 1:1 매핑을 불가능하게 만듭니다.
- 크로스체인 스왑 (THORChain): 이더리움에서 비트코인으로, 체인과 자산을 동시에 바꿔 분석 방식 자체를 교란합니다.
- 밈코인 거래: 직접 송금 없이도 가격과 유동성을 매개로 가치를 이전합니다. Bybit 해킹 자금 일부는 Pump.fun 기반 밈코인 발행자 주소와 연결된 정황이 관찰됩니다.
- PerpDEX 포지션 손익 분리: 한 주소는 청산되고 다른 주소에서 수익을 회수하는 구조로, 두 주소 간 직접적인 온체인 송금이 없어도 가치 이전이 발생합니다. Radiant Capital 해킹 자금은 이 경로를 통해 하이퍼리퀴드(Hyperliquid)에서 약 167만 달러가 사실상 세탁된 정황이 확인됩니다.
- NFT 고가 거래: 동일 컬렉션 NFT를 시장가 대비 153배 이상 높은 가격에 매수하는 방식으로 자금을 이전합니다. Bittensor 해킹 자금은 Railgun 이후 Killer GF NFT 거래와 연결된 정황이 식별됩니다.
이 과정에서 각 거래는 개별적으로 보면 정상적인 온체인 활동처럼 보입니다.
왜 주소 기반 탐지만으로는 충분하지 않은가
온체인 데이터는 공개되어 있지만, 거래 기록이 존재한다는 사실과 범죄 흐름이 명확하게 보인다는 것은 다른 문제입니다. 탐지를 어렵게 만드는 구조적 요인은 다음과 같습니다.
- 하나의 사건에서 탈취 주소, 스왑 주소, 브릿지 주소, 믹서 입금 주소, 출금 후보 주소, NFT 거래 주소, CEX 입금 주소가 모두 다르게 나타납니다.
- 프라이버시 프로토콜 통과 이후에는 입출금의 직접 연결이 암호학적으로 차단됩니다.
- 체인이 바뀌면 주소 체계, 데이터 구조, 분석 방법론이 동시에 달라집니다.
- NFT, 밈코인, PerpDEX에서의 가치 이전은 송금 그래프에 나타나지 않습니다.
결국 위험은 특정 주소 하나가 아니라 여러 주소, 여러 프로토콜, 여러 체인에 걸친 자금 흐름과 행동 패턴 안에 있습니다.
FRAML: Fraud와 AML을 하나의 사건으로 보는 접근
FRAML은 사기 탐지(FDS)와 자금세탁방지(AML)를 별개의 업무가 아니라 하나의 위험 흐름으로 통합해 분석하는 방법론입니다.
온체인 환경에서 Fraud와 AML 사이의 거리는 매우 짧습니다. 해킹·피싱으로 시작된 사건은 몇 분 안에 스왑, 브릿지, 믹서를 거쳐 거래소로 이어집니다. FDS가 탐지해야 할 이상출금 이벤트가 AML이 다뤄야 할 자금세탁 흐름으로 즉시 전환됩니다.
FRAML의 핵심은 "이 거래가 이상거래인가"를 넘어 "이 자금 흐름이 어떤 사건으로 진행되고 있는가"를 판단하는 것입니다. 최초 위험 신호에서 자금 이동 경로, 프로토콜 사용, 오프램프까지를 하나의 사건 단위로 연결해 봅니다.
CLAIR FRAML: 온체인 FRAML의 운영 구현
CLAIR FRAML은 이러한 접근을 실제 운영 환경에 적용한 구현 사례입니다. 탐지부터 분석, 대응, 보고까지 하나의 운영 흐름으로 연결됩니다.
- 탐지 단계: 룰셋과 Watchlist 기반 이상 거래 식별, Alert 심각도 및 우선순위 분류
- 분석 단계: 다단계(Multi-hop) 자금 흐름 추적, 주소 및 거래 위험도 스코어링
- 모니터링: 거래 전 사전 위험 통제(Pre-TX), 거래 후 지속 스크리닝(EDCS)
- 보고 단계: STR 작성 근거 확보, AI 기반 보고서 작성 지원
온톨로지 기반 데이터 구조와 지식 그래프(Knowledge Graph)를 활용해 여러 주소와 체인을 거쳐 이동하는 자금 흐름을 하나의 사건 단위로 재구성합니다.
금융기관에 갖는 시사점
비트코인 현물 ETF 승인, 스테이블코인 결제 확산, RWA 토큰화가 진행되면서 온체인 금융범죄의 영향 범위는 거래소 내부를 넘어 은행·결제 인프라·수탁사로 확장되고 있습니다. 거래소에서 시작된 해킹 자금은 CEX와 OTC를 거쳐 은행 계좌로 유입될 수 있으며, 이 과정에서 AML·STR·제재 리스크가 함께 발생합니다.
단일 거래 탐지에서 사건 전체를 이해하는 방향으로 탐지 체계를 고도화해야 할 시점입니다.
온체인 자금세탁의 구체적인 기법 분석, 비트텐서·Radiant Capital·바이빗 해킹 사건의 자금 흐름 추적 과정, CLAIR FRAML의 분석 구조에 대한 상세 내용은 리소스 페이지에서 전문 리포트를 다운로드하실 수 있습니다.
람다256
람다256은 엔터프라이즈와 금융기업을 위한 블록체인 인프라 및 데이터 솔루션을 제공하는 기술 기업이다. 두나무의 블록체인 연구소에서 출발해 2019년 설립된 이후, 엔터프라이즈급 블록체인 노드 인프라 플랫폼 노딧(Nodit), 온톨로지 기반 데이터 분석 솔루션 클레어(CLAIR), 그리고 기관용 스테이블코인 통합 플랫폼 스코프(SCOPE)를 중심으로 블록체인 기술의 상용화와 금융 데이터 생태계 조성을 선도하고 있다.



