2026 가상자산 보고서
TRM, 2025년 불법 가상자산 1,580억 달러로 사상 최고치 기록…다년간 감소세 역전
주요 요점
- 불법 가상자산 2025년 역대 최고치인 1,580억 달러를 기록했으며, 이는 2024년 대비 약 145% 증가한 수치이다.
- 불법 거래량의 절대적 규모는 증가했음에도 불구하고, 전체 가상자산 대비 불법 거래량의 비율은 2024년 1.3%에서 2025년 1.2%로 하락했다.
- 불법 활동은 전체 온체인 거래량의 작은 비중을 차지했지만, TRM이 공개한 새로운 지표에 따르면 2025년 불법 주체들은 가용 가상자산 2.7%를 차지했다. 이 지표는 단순 거래량 대신 운용 가능한 자본 대비 위험을 측정한다.
- 2025년 제재 관련 활동은 압도적으로 러시아 연계 자금 흐름에 의해 주도되었으며,이는 주로 루블 페그스테이블코인 A7A5의 급속한 성장에 기인한 것으로, 해당 코인은 총 720억 달러 이상의 거래량을 처리했습니다.
- 러시아 제재 회피 네트워크 A7과 월렛 클러스터 2025년 기준 최소 390억 달러 규모로 연결되어 있다. 이는 광범위한 시장 사용보다는 제재 회피 및 국가 연계 금융 인프라와 밀접하게 연관된 집중적이고 조직적인 활동을 반영한다.
- 2025년 불법 행위자들은 약 150건의 해킹을 통해 총 28억 7천만 달러를 탈취했습니다. 이는 지난해보다 적은 건수이지만, 바이빗(Bybit) 해킹 사건만으로도 14억 6천만 달러(51%)가 유출되어 연간 총 손실 증가분의 상당 부분을 차지했습니다.
- 주요 지정학적 행위자들은 가상자산 더욱 깊이 관여하며 가상자산 견고한 금융 인프라로 활용했다. 이란과 베네수엘라는 제재로 제약된 대규모 결제 및 금융 서비스를 가상자산 의존했다. 중국계 에스크로 및 자금 세탁 네트워크는 1000억 달러 이상을 처리하며 국가 주도 활동이 아닌 글로벌 불법 시장의 핵심 인프라로 기능했다.
이러한 요점들은 가상자산 현재 상태를 반영합니다: 더 이상 새롭거나 주변적인 존재가 아니라, 광범위하게 통합되었으며 일부 경우에는 전통적인 경제 활동에 깊이 뿌리내리고 있습니다. 규제 기관, 일반 사용자, 정부, 범죄 행위자 모두 이제 가상자산 금융 생활의 일상적인 가상자산 마주합니다. 가상자산 사용하기 더 쉬워지고 점점 더 매끄러워지며 합법적·불법적 금융 서비스 모두에 녹아들고 있는 반면, 많은 정부는 디지털 자산을 국가 경제 전략에 통합하고 있습니다. 그 결과 가상자산 대한 기본적인 이해도가 높아지면서 동시에 불법 활동 탐지 능력이 향상되었고, 더 많은 규모의 가치가 광범위한 불법 가상자산 통해 이동할 수 있게 되었다.
불법 활동의 비율은 전체 활동에서 항상 그랬듯이 극히 일부에 불과합니다. 그러나 TRM은 이 수치를 맥락화하는 더 나은 방법이 있다고 판단하여 이를 반영하기 위해 방법론적 변경을 채택하였으며, 그 내용은 아래에 상세히 설명되어 있습니다.
방법론 재검토: 유입 유동성에 대한 불법 총량 및 불법 활동 고려
불법 가상자산 2025년 약 1,580억 달러의 유입 가치를 기록했으며, 이는 2024년 645억 달러 대비 급증한 수치이자 지난 5년간 관측된 최고 수준이다. 이 반등 이전에는 불법 단체로의 총 유입 가치가 2021년 859억 달러에서 2022년 754억 달러, 2023년 733억 달러로 꾸준히 감소한 후 2024년 최저점을 기록했습니다.
2025년의 변화는 강화된 제재 지정, 국가 가상자산 활용 증가, 그리고 TRM의 기술 발전으로 인해 이전에는 추적되지 않았던 불법 거래량을 탐지할 수 있게 된 점이 복합적으로 반영된 결과입니다. 비콘 네트워크(Beacon Network )가 그 대표적인 예로, 실시간 정보 공유 시스템을 통해 법 집행 기관이 금융 범죄와 연계된 주소를 표시하면 즉시 거래소에 경고 신호를 보내고 위험 기반 대응을 촉발합니다.
2025년 절대값이 증가했음에도 불구하고 불법 활동의 비율은 계속해서 감소했다. 온체인 거래량 총액 대비 비율로 측정했을 때, 불법 활동은2024년 1.3%에서 2025년 1.2%로 소폭 하락했으며, 이는 2023년 최고치인 2.4%보다 훨씬 낮은 수준이다.
불법 활동을 유입 유동성과 연관지어 살펴보면 유사한 추세가 나타납니다: 불법 주체들은 2025년 가상자산사업자(VASP) 2.7%를 차지했으며, 가상자산사업자(VASP) 2024년 2.9%, 2023년 6.0%와 비교됩니다. 이러한 지표들은 특정 불법 범주가 절대적으로 확대되었음에도 불구하고, 불법 행위자들이 가상자산 유입되는 신규 자본에서 차지하는 비중은 오히려 감소했음을 시사합니다.
{{28-2026-crypto-crime-report-footnote-1}}
러시아 관련 제재 지정 및 개선된 어트리뷰션 불법 가상자산 의 가장 큰 변화를 어트리뷰션
제재 대상 기관 및 관할권과 연관된 거래량은 2025년 급증했으며 , A7A5 토큰이 720억 달러를 수취한 데 이어 월렛 클러스터 연관된 추가 390억 달러가 뒤를 이었습니다 . 이러한 성장은 극도로 집중된 양상을 보였는데, 제재 관련 거래량의 압도적 다수가 Garantex, Grinex, A7 등 러시아 연계 기관과 연결되었습니다.
이러한 증가는 제재 회피 활동의 증가뿐만 아니라, 대규모 기관에 대한 신규 지정과 함께 기존 제재 대상 행위자에 대한 가상자산 어트리뷰션 (귀속) 정확도 향상과도 연관되어 있습니다.
{{28-2026-crypto-crime-report-callout-1}}
A7은 규모뿐만 아니라 러시아 국가 이익과 연계된 중앙 조정형 제재 회피 구조로서의 역할로도 두드러진다. 온체인 활동은 A7이 러시아 관련 행위자들을 중국, 동남아시아, 이란 연계 네트워크 전반의 상대방과 연결하는 허브 역할을 수행함을 시사하며, 이는 가상자산 국가와 연계된 금융 인프라로의 의도적 전환을 반영한다.
A7 월렛 클러스터 제재 회피 활동과 밀접하게 월렛 클러스터 있지만, A7A5 토큰은 스테이블코인 사용을 확대함으로써 달러 기반 결제 수단에 대한 의존도를 낮추려는 보다 광범위한 전략을 반영합니다. 결과적으로 A7A5와 관련된 높은 거래량은 단순히 제재 회피만을 나타내는 것이 아니라, 국가와 연계된 경제 흐름을 포함한 보다 광범위한 제재 대상 활동을 의미합니다. 이러한 역학 관계는 러시아 연계 행위자들이 장기적인 국가 지원 전략의 일환으로 가상자산 특히 스테이블코인과 고위험 서비스를 점점 더 활용하고 있음을 보여줍니다.
제재 대상 기관으로의 자금 유입은 주로 스테이블코인을 이용했다. 이러한 스테이블코인 선호와 고위험 서비스로의 이동은 제재 집행의 효과성 강화, 제재 지정 시 가상자산 활용 확대, 적발 또는 자산 동결 위험 증가라는 환경을 반영한다. 이러한 역학 관계는 당국이 러시아 연계 네트워크를 우선적으로 제재 대상으로 삼고, 집행 수단이 가상자산 더 특화되며, 불법 행위자들이 더 위험하고 규제가 덜한 채널로 이동하며 적응하는 제재 환경을 시사한다.
지정학이 온체인(on-chain)으로 이동했다
2025년 지정학적 압박은 불법 가상자산 재편했으며, 국가 및 국가 연계 행위자들은 가상자산 최후의 수단이 아닌 핵심 금융 가상자산 활용하기 시작했다. 러시아 연계 네트워크가 제재 관련 가상자산 대부분을 주도했지만, 더 중대한 변화는 다른 제재 대상 행위자들이 가상자산 제도화한 점이었다.
예를 들어 베네수엘라에서는 가상자산 전통적인 은행 접근이 제한된 강력한 제재 경제에서 압력 해방 밸브 역할을 가상자산 , 결제, 송금 및 국가 연계 금융 활동을 지원했다.
중국은 불법 가상자산 불법 금융 서비스 인프라의 허브로서 독보적인 위치를 차지하고 있다. TRM 분석에 따르면 중국어 에스크로 서비스 및 지하 은행 네트워크와 연관된 활동이 시간이 지남에 따라 급격히 증가했으며, 조정된 가상자산 2020년 약 1억 2,300만 달러에서 2025년 1,030억 달러 이상으로 상승했다.
이러한 지속적인 성장은 스캠 , 사이버 범죄 집단, 제재 회피 중개업체를 포함한 다양한 불법 행위자들이 아시아태평양 지역 전역에서 결제 및 현금화 목적으로 에스크로 기반 가상자산 점점 더 의존하고 있음을 반영합니다.
이러한 서비스는 대량의 스테이블코인 용이하게 하며, 장외 중개업체, 자금 세탁 네트워크 및 아시아 태평양 지역 기반 카지노를 통해 가상자산 공식 금융 시스템으로 연결합니다.
이 활동은 2025년을 위한 명확한 주제를 재확인합니다: 불법 가상자산 접근성과 일상적 금융 활동과의 통합을 통해 형성되고 있습니다. 이러한 중국 에스크로 서비스와 같은 전 세계적으로 접근 가능한 서비스 제공업체들은 대규모 범죄 수요를 가능하게 하며, 스테이블코인은 지정학적 행위자, 중개자 및 불법 시장 간의 주요 연결 계층 역할을 수행합니다.
가상자산 건수가 사상 최고치를 기록했다
조정된 불법 가상자산 2025년 약 1,580억 달러로 증가하여 지난 5년간 관측된 최고 수준을 기록했으며, 이는 2024년 640억 달러 대비 급증한 수치이다. 이러한 반전은 3년 연속 감소세 이후 나타난 것으로, 특정 사건 유형이나 시장 주기에 의한 성장보다는 다중 범주에 걸친 불법 활동의 재확장을 반영한다.
이러한 증가의 주요 요인은 다음과 같습니다:
- 확대된 제재 관련 활동은 전년 대비 400% 이상 증가했으며, 블랙리스트 등재 기관 (32%) 및 해킹 또는 도난 자금( 31%) 역시 지속적으로 증가했습니다. 이는 대규모 단속 조치와 함께 기존 제재 대상 행위자와 연계된 어트리뷰션 (원인 규명) 능력이 향상되었음을 반영합니다.
- 시장 주도형 불법 활동의 성장세가 다소 완화되며, 다크넷 시장 (20%)과 불법 상품 및 서비스 (12%)의 확장 속도가 둔화될 전망이다.
- TRM의 비콘 네트워크를 어트리뷰션 속도 및 조정성 향상 비콘 네트워크를 통해 어트리뷰션의 속도와 조정성을 개선했습니다. 이 네트워크는 관할 구역 간 법 집행 기관 파트너와 민간 부문 기관을 연결하여 불법 활동을 조기에 식별할 수 있도록 합니다. 비콘은 TRM이 정의하는 "불법 활동"의 범위를 확장하지는 않았지만 , 신뢰도 높은 정보, 사건 데이터 및 수사 통찰력을 플랫폼에 통합하는 속도를 가속화했습니다. 이를 통해 새롭게 발생하는 위협과 대규모 사건이 전개되는 과정에 대한 가시성을 향상시켰습니다.
- 제재 회피, 테러 자금 조달, 사기 및 해킹과 연계된 지갑을 대상으로 한 스테이블코인 단속 확대에 부분적으로 기인하여, 다양한 범죄 유형에 걸친 블랙리스트 등재 활동 증가.
이러한 역학 관계를 종합해 보면, 2025년 불법 가상자산 유입 가상자산 증가가 모든 불법 활동 유형에 걸친 광범위한 확장에 기인하기보다는 집중된 충격, 단속 관련 동향, 그리고 특히 대규모 해킹 및 제재 관련 자금 흐름을 중심으로 어트리뷰션 더 빠르고 높은 신뢰도의 어트리뷰션 주도되었음을 시사한다.
{{premium-content_chapter-divider}}
TRM의 방법론 및 접근 방식
<h3 class="premium-content_subhead">Why we rethought how illicit crypto activity is contextualized</h3>
불법 가상자산 전통적으로 전체 블록체인 거래량의 백분율로 표현되어 왔다. 이러한 프레임워크는 편리한 상위 수준의 기준점을 제공하지만, 가상자산 성숙해질수록 더욱 두드러지는 의미 있는 한계점을 지닌다.
총 블록체인 거래량은 실제 경제적 이전이나 소유권 변경과 반드시 일치하지 않는 광범위한 활동을 포착합니다. 고빈도 거래, 자동화된 시장 조성, 차익 거래, 내부 거래소 흐름, 그리고 주소 간 반복적인 자금 순환과 같은 기술적 행위는 새로운 자본을 도입하거나 효과적으로 유통되는 가치의 양을 증가시키지 않으면서도 거래량을 실질적으로 부풀릴 수 있습니다.
TRM은 소유권 변경을 추정하고 특정 내부 또는 자기 참조적 이동을 걸러내기 위한 기술을 적용하지만, 이러한 방법들은 본질적으로 불완전합니다. 실제 시장에서는 빠른 거래 속도, 다층적 인프라, 동일한 자금의 다중 지갑 간 반복적 재사용이 특징인 환경에서 진정한 경제적 이전과 기술적·중개자 주도 활동을 구분하는 것이 점점 더 어려워지고 있습니다. 결과적으로 블록체인 총 거래량은 종종 잡음이 많은 분모 역할을 하여, 불법 활동의 진정한 경제적 규모와 영향을 밝히기보다는 오히려 가릴 수 있습니다.
이러한 이유로 TRM은 올해 이 추정치에 두 가지 변경 사항을 적용했습니다:
- 하한 추정치: 분모 정교화
- 가상자산사업자(VASP) 중 불법 활동 비중
1. 하한 추정치: 분모 정교화
하한 추정치 가상자산 시 TRM은 이제 분모를 알려진 서비스, 알려진 지갑, 서비스 유사 클러스터와 관련된 가상자산 제한하며, 서비스와 유사한 행동을 보이지만 완전한 어트리뷰션 부족한 제한된 클러스터 집합도 포함합니다. 이 조정은 분모를 기술적 또는 자기 참조적 이동이 아닌 실제 경제적 사용을 반영하는 활동과 더 밀접하게 연계하기 위해 설계되었습니다.
개정된 접근 방식은 가치 이전을 의미 있게 나타내지 않으면서 거래 건수를 부풀리는 대량의 활동을 의도적으로 배제합니다. 여기에는 세탁 거래, 필 체인, 내부 거래소 이동, 고빈도 차익 거래 활동이 포함됩니다. 이러한 행위는 상당한 온체인 거래량을 생성할 수 있지만, 새로운 자본을 거의 또는 전혀 도입하지 않으며 사용자에게 제공되는 가치의 양을 증가시키지 않습니다. 이러한 행위의 유행은 고도로 자동화된 전략을 가능하게 하는 새로운 블록체인과 거래 환경과 함께 증가해 왔습니다.
분모를 확실히 식별 가능하고 경제적 맥락을 부여할 수 있는 활동으로 좁힘으로써, 본 방법론은 불법 활동 평가를 위한 보다 보수적이면서도 분석적으로 의미 있는 기준선을 제시합니다. 주요 타협점은 식별 가능한 서비스와 상호작용하지 않는 일부 P2P 및 개인 지갑 활동이 제외된다는 점입니다. TRM은 원시 거래량이 경제적 현실을 명확히 하기보다 오히려 가릴 수 있는 환경에서 완전성보다 정확성과 해석 가능성을 우선시하므로, 이러한 타협이 정당하다고 판단합니다.
2. 가상자산사업자(VASP) 중 불법 활동 비중
TRM은 불법 활동을 온체인 총 거래량 대비 비율이 아닌 가상자산사업자(VASP) 대비 비율로 측정하는 새로운 지표를 도입합니다. 이 접근법은 불법 위험이 블록체인 활동 전체보다 가용 유동성에 대한 상대적 관계에서 더 잘 이해된다는 당사의 견해를 반영합니다. 본 보고서에서는 가상자산서비스제공자(VASP)를 떠나는 자금의 USD 가치를 활용해 가용 유동성을 추정합니다. 가상자산사업자(VASP) 가치가 보관 환경을 벗어나 온체인 생태계 전반에서 자유롭게 활용 가능해지는 시점을 나타냅니다. 이 시점에서 해당 자금은 전송, 전환 및 다양한 목적(불법 활동 포함)으로 사용될 수 있습니다.
간단한 예시를 통해 그 차이를 설명해 보자.
{{28-2026-crypto-crime-report-callout-2}}
이러한 유동성 기반 접근법은 불법 네트워크의 실제 운영 방식과 더 잘 부합한다. 불법 행위자들은 거래 건수가 아니라 운영 자금, 결제, 하위 네트워크를 지원할 수 있는 이전 가능한 가치에 대한 접근성에 제약을 받는다. 분모를 VASP를 떠나는 자금에 고정함으로써, 이 지표는 시장 구조, 거래 전략 또는 내부 시스템 행동에 의해 주도되는 기술적 거래 활동보다는 현실적으로 사용 가능한 자본 풀에 초점을 맞춘다.
가상자산사업자(VASP) 모든 유동성 원천을 포착한다고 주장하지 않으며, 모든 유출이 새로 유입된 자본을 의미한다고도 보지 않습니다. 그러나 일관되고 관측 가능한 기준선으로서, 가용 유동성은 블록체인 총 거래량만으로는 파악하기 어려운 불법 활동 평가에 더 안정적이고 경제적으로 의미 있는 맥락을 제공합니다. 기존 측정 방법과 병행할 경우, 이 접근법은 불법 행위자들이 가상자산 어떻게 참여하고 가치를 창출하는지에 대한 보다 명확하고 직관적인 시각을 제시합니다.
총 불법 물량을 어떻게 계산했는가
TRM의 불법 가상자산 총 가상자산 추정은 가상자산 기반 해킹을 통해 탈취된 자금의 달러 가치와, TRM이 불법 단체로 규정한 주체들이 비트코인, 이더리움, 트론, 바이낸스(Binance) 체인, 폴리곤 블록체인 주소로 이체한 자금의 달러 가치를 합산한 수치입니다. 해당 단체에는 사기 조직, 제재 대상자, 테러 단체, 다크넷 마켓플레이스 등 광범위한 위협 범주가 포함됩니다.
우리는 이 추정치를 보수적인 기준선, 즉 불법 가상자산 최소치 또는 '최저선'으로 간주합니다. 블록체인상의 불법 활동은 종종 지연되어 식별됩니다. 이는 수사 기관의 조치, 제재 지정, 사법 절차, 오픈소스 보고 등을 통해 시간이 지남에 따라 어트리뷰션 때문입니다. 새로운 정보가 등장하고 추가 지갑이 알려진 불법 행위자와 연결됨에 따라 과거 추정치는 종종 증가하며, 이는 초기 측정치가 당시 발생한 불법 활동의 실제 규모를 과소평가한다는 관점을 강화합니다.
이 추정치에서는 일부 활동 범주가 의도적으로 제외되었습니다.
- 첫째, 법정화폐에서 비롯된 범죄 수익금이 이후 가상자산 전환되는 경우를 제외합니다. 이러한 자금 흐름은 일반적으로 온램프(on-ramp)와 결제 중개업체를 통해 가상자산 유입되며, 온체인 데이터만으로는 식별하기 어렵습니다. 이러한 활동을 정확히 추정하려면 가상자산 서비스 제공업체(VASP)와 국가 금융정보분석기관으로부터의 보완 정보가 필요하나, 이는 지속적으로 확보되지 않습니다.
- 둘째, 불법 활동과 연관되지 않은 것으로 확인된 블록체인 주소로의 전송은 제외합니다. 비연관 주소에는 불법 행위자가 포함될 수 있으나, 상당량의 합법적 활동도 포괄합니다. 관련성이 있는 경우, 단일 주체 내부의 내부 전송으로 보이지 않는 비연관 주소 관련 거래를 검토하여 해당 활동의 상한선을 추정합니다.
- 셋째, 본 가상자산 불법 가상자산 포함되지 않습니다. 불법 거래량 지표는 불법 행위자들이 창출한 수익을 포착하기 위한 것이지, 해당 자금이 세탁 체인을 통해 이후 이동하는 과정을 반영하기 위한 것이 아닙니다. 전체 블록체인 활동에서 불법 가상자산 비중을 계산할 때, 우리는 불법 단체로 귀속되는 유입 거래량에 집중하며, 특정 단체 내부의 내부 거래로 보이는 이체(예: 필링 체인 또는 특정 탈중앙화 거래소 스왑)는 제외합니다.
면책 조항: 전체 불법 유통량 수치는 상향 조정될 가능성이 높습니다.
이 수치는 발행 시점에 이용 가능한 최상의 정보에 기반한 TRM의 불법 가상자산 대한 현재 추정치를 반영합니다. 그러나 불법 활동의 탐지 및 귀속은 본질적으로 복잡하며 종종 지연되어 발생합니다. 수사가 진행됨에 따라 새로운 제재가 발동되고 사건이 공개되며 추가 정보가 공개됨에 따라, 이전에 알려지지 않았던 지갑과 거래가 불법 행위자들과 연결되는 경우가 빈번합니다.
결과적으로 불법 거래량에 대한 전체 추정치는 시간이 지남에 따라 증가하는 경향이 있습니다. 따라서 독자들은 본 보고서의 수치를 고정된 측정값이 아닌 동적인 기준선으로 간주해야 합니다. 이러한 향후 상향 조정 가능성은 현재 방법론과 기존 추정치 모두에 적용되며, 어트리뷰션 진화적 어트리뷰션 새로운 정보의 지속적인 반영을 반영합니다.
{{premium-content_chapter-divider}}
제재
<h3 class="premium-content_subhead">Inflows to sanctioned entities increased; counter-Russia sanctions remained an international priority</h3>
제재 대상 기관 및 관할구역으로 유입된 가상자산 규모는 2025년 기준 930억 달러에 달했으며, 이 중 720억 달러는 A7A5 토큰 거래량과 연관되었다. 그러나 이러한 증가는 주로 대규모 기관의 신규 지정과 기존 지정 기관과 연계된 가상자산 추가적 어트리뷰션 기인한다.
제재 대상 규모는 이미 불법 활동의 대부분을 차지하지만, FinCEN(금융범죄단속네트워크) 조치 대상 기관을 고려하면 이 문제는 더욱 복잡해진다. 2025년에는 캄보디아 대기업인 후이온 그룹 ( Huione Group )이 FinCEN(금융범죄단속네트워크)의 주요 자금 세탁 우려 대상 외국 금융 기관으로 지정되었으며, 2025년 한 해에만 396억 달러 이상을 수취했다. 러시아의 국경 간 결제 플랫폼 A7, 제재 대상이 된 러시아 가상자산 Garantex의 리브랜딩 기업 Grinex, 캄보디아 기반 초국적 범죄조직(TCO) Prince Group 네트워크 등 주요 기관들의 신규 제재로 인해 제재 대상 기관 및 관할 구역으로의 거래량이 크게 증가했다.
당국이 가상자산 대한 이해도를 높임에 따라, 이슬람 혁명수비대(IRGC), 헤즈볼라 환전 및 종합 무역 회사(하마스), 안사라라(후티), 북한의 제일신용은행 등 이미 지정된 단체들에 가상자산 어트리뷰션 가능해졌으며, 이 또한 증가세에 기여했다.
2025년 제재 대상 기관 및 관할 구역으로 유입된 자금의 거의 95%가 스테이블코인을 통해 이루어졌다. 러시아의 A7A5와 테더(Tether) (USDT)가 이 자금 유입의 대부분을 차지했습니다. 2024년부터 2025년 사이, 중앙화 거래소를 통한 제재 대상 기관 및 관할 구역으로의 총 자금 흐름은 약 30% 감소했습니다. 그러나 고위험/비KYC 서비스 및 탈중앙화 서비스를 통한 자금 흐름은 200% 이상 증가했습니다. 이러한 변화는 다음과 같은 여러 요인을 반영한 것으로 보입니다:
- 중앙화 거래소의 거래 모니터링 및 지갑 심사 강화
- 제재 대상 행위자들의 난독화 전술 활용 증가, 예를 들어 중개 지갑을 통한 자금 층화
- 검거 또는 자산 동결 위험 증가로 인한 중앙 집중형 플랫폼으로부터의 광범위한 이탈
2025년에는 유럽 연합(EU), 영국, 미국 전역에서 가상자산 관련 제재 대상 지정 건수가 총 21건(및 상장 폐지 1건)에 달했다.
이 중 16건의 제재 대상에는 가상자산 포함되었으며, 그중 하나는 유럽 연합(EU) 이 제재 대상에 실제 주소를 유럽 연합(EU) 첫 사례였다. 러시아에 대한 19차 제재 패키지에서 유럽 연합(EU) 은 결제 처리업체 페이어(Payeer)에 대한 거래 금지 조치와 유럽 연합(EU) A7A5 관련 모든 거래를 금지하는 사상 최초의 조치를 채택했다. 4건의 제재는 미국과 동맹국(특히 영국과 호주)의 공동 제재로, 주로 사이버 범죄와 국제 스캠 대응에 초점을 맞췄다. 2025년에는 가상자산 첫 해제 사례도 발생했는데, 2024년 11월 미국 제5순회항소법원의 판결에 따라 2025년 3월 토네이도.캐시(Tornado.cash)가 제재 명단에서 제외되었다.
관할권을 넘나들며 당국이 가상자산 대한 수사 능력과 수용도를 높임에 가상자산 , 특히 지정된 단체와 직접 연결되고 어트리뷰션에 대한 확신이 있을 경우 제재 대상 지정 시 지갑 주소를 식별자로 포함시킬 수 가상자산 . 이러한 최근 지정 OFAC(해외재산관리국) 기타 지정 기관들이 집행 강화를 위해 가능한 경우 계속해서 지갑 주소를 추가할 것임을 시사한다.
미국 가상자산 제재 우선순위는 행정부 간에 변화했다
가상자산 제재 대상 지정은 행정부 우선순위의 뚜렷한 변화를 반영했다. 2025년 지정된 주소의 50% 이상이 불법 마약 시장과 연관되어 펜타닐 생산 및 유통 관련 기업과 개인을 표적으로 삼았다. 2025년의 이러한 변화는 서반구에서의 미국의 다른 활동과 함께 고려할 때, 2026년에도 미국의 제재 정책이 조직범죄단체(TCO), 불법 마약 및 석유, 외국 사이버 행위자에 집중될 가능성이 높으며, 특히 이란 및 베네수엘라 관련 기관에 중점을 둘 것임을 시사한다.
{{premium-content_chapter-divider}}
전략적 글로벌 경쟁사
러시아
<h3 class="premium-content_subhead">The A7 network anchored Russia’s professionalized sanctions evasion effort with over USD 56 billion in volume</h3>
2022년 러시아가 우크라이나를 침공하면서 엄격한 국제 제재를 받게 되자, 국경을 넘는 가상자산 제재 회피 수단이 되었다. 2025년이 되자 러시아의 제재 회피 활동은 제도화되어 A7 네트워크를 중심으로 공고해졌다.
A7은 크렘린의 지원을 받는 국경 간 제재 회피 플랫폼으로, 기존 소규모 분산 네트워크가 수행하던 기능을 확장해 운영 중이다. A7 내부 통신 유출로 대규모 가상자산 어트리뷰션 가능해졌으며, 이로 인해 최소 560억 달러 규모의 A7 직접 관련 거래량이 드러났다. 여기에 더해 중국, 동남아시아, 남아프리카 등지의 A7 유령 회사나 해외 무역 파트너와 연계된 것으로 추정되는 중개 지갑을 통해 추가 자금 흐름이 확인되었다.
온체인 분석에 따르면 A7, 제재 대상 러시아 거래소 가란텍스(Garantex) 및 그리넥스(Grinex), 그리고 가란텍스 계열사로 추정되는 키르기스스탄 등록 다수 기관 노출 양방향 노출 20억 달러를 초과하는 것으로 나타났다. 여러 지갑에서 공유 인프라 또는 중복 통제와 일치하는 지표가 나타나 제재 회피를 위한 공동 조정이 의심됩니다. A7 관련 주소는 또한 노출 혁명수비대(IRGC), 하마스, 제재 대상 기업 HuiOne 및 노출 보여 다른 고위험 금융 네트워크와의 중복을 부각시킵니다.
중국 기반 중개업체들이 조달 및 결제 흐름을 지원했다
A7 관련 자금은 여러 관할 구역에 걸친 중개 기관을 통해 이동했으며, 특히 중국 및 홍콩 기반 기관 노출 컸습니다. TRM Labs 는 명백한 사업 프로필을 고려할 때 예상되는 거래량을 훨씬 초과하는 거래량을 수령하는 여러 중국 거래 상대방을 확인했으며, 이는 가상자산 제한된 중국 본토 기업을 대신하여 결제를 처리하기 위해 홍콩에 기반을 둔 가상자산 사용되었을 가능성을 시사합니다.
이들 기관은 A7, A7 관련 지갑 및 가란텍스 인프라를 사용한 것으로 추정되는 기관으로부터 TRON 네트워크 상의 USDT를 빈번히 수령했습니다. 중국 물류 및 전자 기업들이 두드러지게 등장했다. 한 중국 화물 운송업체는 러시아로 미사일 항법 부품을 운송하기로 합의했다. 이들은 Garantex로부터 131만 달러를 받았으며, 키르기스스탄 기반 Garantex 연계 기관으로부터 추가 자금을 지원받았다. 별도로, A7 연계 주소들은 중국 전자제품 노출 3,700만 달러 이상의 노출 보여주고 있어, 러시아의 전시 공급망을 지원하는 데 중국 기반 중개업체들의 역할을 강화하고 있다.
스테이블코인이 러시아의 국경 간 결제를 용이하게 했다; 러시아 스테이블코인 가치가 허위로 부풀려졌다
2025년 러시아의 제재 회피 활동에서 스테이블코인은 다른 중대한 제재 대상 경제권과 마찬가지로 핵심적인 역할을 했다. A7A5는 A7 및 Garantex 생태계 내에서 사용량이 증가했으나, USDT는 국경 간 결제에서 지배적인 결제 수단으로 자리매김했다.
TRM 분석에 따르면, A7A5 거래량의 약 34%는 세탁 거래를 통해 인위적으로 부풀려진 것으로 추정됩니다. 여기에는 자동화된 행동과 일치하는 신속한 순환적 이체도 포함됩니다. 이러한 패턴의 규모와 속도는 P2P 거래나 법정화폐 입출금과 같은 설명으로는 설명하기 어렵습니다. 오히려 이 활동은 표면적인 유동성을 부풀리고 국제 스테이블코인 비교적 새로운 스테이블코인 신뢰를 구축하기 위해 설계된 것으로 보입니다.
온체인 분석에 따르면 A7A5는 A7, 가란텍스(Garantex), 그리고 동일한 제재 회피 네트워크의 일부로 추정되는 키르기스스탄 기반 기관들 간의 거래에서 불균형적으로 사용된 것으로 나타났습니다. A7A5는 주로 이러한 해외 중개업체, 러시아 기관 및 조달에 관여한 무역 파트너 간의 거래를 결제하는 데 사용되었습니다. 이는 A7A5가 글로벌 경쟁력 있는 스테이블코인 아닌, 더 큰 제재 회피 네트워크의 일환으로 내부 결제 메커니즘으로 의도되었다는 TRM의 평가를 뒷받침합니다. 국내 연계 스테이블코인 공유 온체인 인프라의 결합은 러시아가 제재 체제에 적응함에 따라 제재 기관들의 혁신과 협조 필요성을 강조한다.
2025년은 러시아의 재브랜딩의 해였다
러시아 연계 가상자산 제재 및 단속 조치에 대응해 신속한 리브랜딩과 재설립을 반복해왔다. 2025년 3월 가란텍스(Garantex)에 대한 국제 단속 작전 이후, 해당 플랫폼과 연관된 텔레그램 채널들은 후속 서비스인 그리넥스( Grinex) 를 신속히 홍보했다. 이후 온체인 분석을 통해 두 서비스 간 연속성이 확인되었으며, A7A5를 통해 자산 이전이 이루어진 것으로 드러났다.
TRM은 또한 키르기스스탄에서 출시된 러시아 연계 플랫폼 다수를 추가로 확인했는데, 이들 플랫폼은 Garantex와 거의 동일한 사용자 인터페이스, 백엔드 인프라, 지갑 휴리스틱을 공유하고 있었습니다. ABCeX와 그 리브랜딩된 AEXBit 역시 공유 핫 지갑으로의 공동 지출과 같은 유사한 패턴을 보여 공통된 통제권을 시사했습니다. 유사한 방식으로 러시아 연계 결제 처리업체 크립토무스(Cryptomus)는 병행 서비스인 헬레켓( Heleket)을 출시했으며, 이 플랫폼은 초기 유동성을 가란텍스에서 직접 공급받았습니다. TRM은 조정된 출시 일정, 최소한의 서비스 또는 규정 준수 변경, 중복된 온체인 인프라 등 공유된 특성을 확인하여 해당 서비스들이 단순히 리브랜딩된 것이라는 당사의 평가를 입증했습니다.
이 2025년 재브랜딩은 러시아의 국제 가상자산 접근성을 유지하면서 핵심 운영자들을 제재 및 노출 보호하기 위한 중앙 조정 노력의 일환으로 보인다. 더 빠른 어트리뷰션, 특정 브랜드보다 공유 인프라를 표적으로 삼는 전략, 그리고 가상자산 제재에 대한 당국의 더 큰 수용성은 2026년 이러한 네트워크에 대한 효과적인 대응을 가능하게 할 수 있다.
베네수엘라
<h3 class="premium-content_subhead">Stablecoins, P2P activity were central to Venezuela’s evolving crypto ecosystem</h3>
2025년 베네수엘라의 가상자산 거시경제적 불안정, 제재 압박, 규제 불확실성에 의해 형성되었으며, 이는 일상적인 금융 활동에 스테이블코인(특히 USDT)에 대한 광범위한 의존으로 이어졌다. 스테이블코인은 소매 결제, 송금, 비공식 금융 거래에 일반적으로 사용되며, 이는 볼리바르의 지속적인가치 하락과 신뢰할 수 있는 은행 인프라에 대한 접근성 제한을 반영합니다. TRM의 2025 가상자산 보고서에 따르면, 베네수엘라는 2025년 가상자산 순위 상위 20개국 중 11위를 차지하며 가상자산 빠르게 증가하고 있습니다.
2023년 가상자산 및 관련 활동 국가감독청(SUNACRIP)의 구조 조정 이후에도 베네수엘라의 가상자산 환경은 여전히 분산되고 불투명한 상태를 유지하고 있다. 공식 감독 체계의 공백과 더불어 지속되는 개인 간 거래(P2P) 활용 및 글로벌 플랫폼 내에서 운영되는 중첩된 서비스 모델은 제재 노출 포함한 구조적 위험을 초래한다.
대형 국제 거래소들은 P2P 기능을 제공하며 여전히 막대한 영향력을 행사하고 있으며, 이를 통해 사용자들은 전통적 금융 기관과 직접 거래하지 않고도 볼리바르와 스테이블코인 간 환전이 가능합니다. 이러한 주요 플랫폼과 병행하여 다양한 비공식 공급자들이 메신저 앱과 지갑 간 거래를 통해 운영되고 있습니다. 이러한 채널들은 금융 포용성을 지원할 수 있으나, 비공식적 특성으로 인해 거래 상대방과 거래 흐름에 대한 투명성이 저하되어 생태계 전반에 걸쳐 금융 범죄 위험에 노출 증가합니다.
정부가 묵인하는 플랫폼들이 비공식적 경로와 공존한다
비공식 활동과 병행하여, 여러 국내 가상자산 결제 플랫폼이 일정 수준의 정부 관용 하에 운영되는 것으로 보인다. 이들은 가맹점 결제, 법정화폐 출금 경로, 스테이블코인서비스를 제공한다. 이들 중 일부는 현지 허가 체계 하에서 운영되며 국내 결제 시스템에 통합된 반면, 다른 일부는 여러 관할 구역을 넘나들며 스테이블코인 지역 결제 경로(현지 은행 포함) 스테이블코인 연결한다.
이러한 역학은 경제적 필요성, 규제 불명확성, 그리고 달러 연동 가치에 대한 접근성을 유지하기 위한 지속적인 노력에 의해 형성된 복합적인 금융 환경을 반영한다.
고위험 금융 인프라와 스테이블코인이 석유 결제에 사용될 가능성이 높다
베네수엘라의 디지털 자산 활동은 거시경제적 필요성에 의해 주도되는 경우가 많지만, 동시에 점점 더 복잡해지는 국경 간 금융 인프라 네트워크 내에서 운영되고 있다. 2025년에도 USDT와 같은 스테이블코인은 국내 금융 활동과 비공식 외환 결제에서 핵심적인 역할을 유지했으나, 동시에 강력한 제재가 가해지는 관할권에서 사용되는 대체 결제 메커니즘을 반영하는 거래에서도 관찰되었다.
베네수엘라 내외에서 활동하는 중개업체들은 석유 연계 무역 흐름과 일치하는 맥락에서 스테이블코인을 포함한 디지털 자산 거래에 관여했을 가능성이 높다. 이러한 패턴은 전통적인 달러 채널 및 은행 인프라 접근성 제한에 대한 구조적 적응을 반영하는 것으로 보인다. 일부 사례에서는 해당 활동이 지역 내 고위험 거래소 또는 다중 관할권에서 운영되는 지역·국제 거래소를 경유한다.
TRM은 또한 이란, 러시아, 중국과 연계된 고위험 금융 네트워크와 역사적으로 연결된 중개업체를 노출 확인했습니다. 일부 사례에서는 이러한 노출이 추적 가능성이나 집행 가시성을 제한할 수 있는 대체 디지털 자산의 사용과 함께 발생했습니다. 이러한 관측은 고속 스테이블코인 , 특히 분열되거나 투명성이 낮은 규제 환경에서 운영되는 생태계에 내재된 체계적 위험을 부각시킵니다.
{{28-2026-crypto-crime-report-footnote-2}}
이란
<h3 class="premium-content_subhead">Iran’s crypto economy was resilient under sanctions and conflict</h3>
이란의 가상자산 2024년과 2025년에도 대체로 활동을 유지하며, 디지털 자산이 이제 이란 금융 시스템에 얼마나 깊이 뿌리내렸는지를 보여주었다. 지속적인 제재 압박, 강화된 집행 감시, 지정학적 혼란, 금융 인프라를 겨냥한 사이버 활동에도 불구하고, 이란의 가상자산 붕괴되기보다는 적응하는 모습을 보였다.
TRM은 2024년 이란 내 가상자산 를 총 약 114억 달러, 2025년에는 약 100억 달러로 관측했으며, 이는 유입 및 유출 흐름을 모두 포함합니다. 연간 기준으로 활동 규모가 소폭 감소했음에도 불구하고 , 이러한 거래량의 규모와 일관성은 투기적 참여가 아닌 구조적 수요를 시사합니다. 해외 중개업체 및 브로커를 통한 결제 어트리뷰션 지속적으로 확대됨에 따라, 양년도의 관측된 총액은 상향 조정될 가능성이 여전히 존재한다.
전쟁은 붕괴가 아닌 통합을 보여주었다
2025년 6월 13일부터 24일까지 12일간 지속된 이란-이스라엘 갈등은 가상자산 스트레스 테스트 역할을 했으며, 극심한 지정학적 압박 속에서도 그 회복탄력성을 입증했다. 갈등 기간 동안 이란의 가상자산 약 35% 증가한 반면, 거래 건수는 약 40% 감소했다. 동시에 평균 거래 규모는 2024년 동일 기간 대비 약 122% 증가했다.
이러한 차이는 가상자산 감소가 아니라 활동이 더 적고 규모가 큰 거래로 집중되고 있음을 시사한다. 이는 일상적인 소매 거래보다는 자본 유출, 잔고 통합, 위험 완화와 같은 위기 유발 행동과 일치하는 패턴이다. 네트워크 장애, 강화된 제재 압박, 활발한 분쟁 속에서도 이란의 가상자산 전통적 금융 경로가 가장 제약받을 때 가치를 이동시키는 신뢰할 수 있는 통로로 계속 기능했다.
노비텍스는 압박 속에서 적응했다
이러한 통합 동향은 거래소 수준에서도 관찰됐다. 6월 13일 이스라엘의 공격 직전 며칠 동안 이란 최대 가상자산 노비텍스(Nobitex) 의 자금 유출이 전주 대비 150% 이상 급증했는데, 이는 사용자들이 사태 악화를 예상하고 국내 플랫폼에서 자금을 선제적으로 이동시키고 있음을 시사한다. 곧이어 이스라엘 연계 해킹 그룹 프레더토리 스패로우(Predatory Sparrow)가 노비텍스를 대상으로 약 9천만 달러 규모의 해킹을 감행하며 사용자 불신을 확산시키고 일시적인 시장 혼란을 초래했다. 이로 인해 이후 유입 거래량은 전년 동기 대비 70% 이상 급감했다.
이란의 국내 가상자산 이러한 충격에도 불구하고 계속 기능했다. 노비텍스는 6월 말부터 단계적으로 서비스를 재개했으며, 이는 부분적으로 비트코인으로 보유한 준비금 덕분에 가능했다. 여기에는 이전에 휴면 상태였던 채굴 관련 지갑에서 통합된 자금도 포함된다. 더 넓게 보면, 활동이 사라지지 않고 중개 지갑과 해외 서비스를 통해 우회되었다.
국내 시위로 인해 인터넷 차단이 발생했으며, 참여가 억제되었다
2025년 12월 말, 정권은 광범위한 반정부 시위에 대해 거의 완전한 인터넷 차단과 동원 및 정보 흐름을 억제하기 위한 디지털 서비스 제한을 포함한 공격적인 국가 통제로 대응했다. 이는 가상자산 대해 그해 초 전쟁과는 다른 결과를 초래했다.
2025년 12월 28일부터 2026년 1월 16일까지 이란의 가상자산 총 가상자산 전년 동기 대비 약 60% 감소했으며, 거래 건수는 2024-2025년 동일 기간 대비 약 63% 하락했습니다. 이 기간은 특정된 범위이지만, 시위와 관련된 통신 제한은 이 기간 이후에도 지속되어 관측된 활동 위축이 일시적 충격이 아닌 지속적인 상황을 반영함을 시사한다.
데이터에 따르면 소매 및 소규모 가상자산 인터넷 중단, 감시 우려, 거래소 접근 제한 등으로 인해 크게 제약을 받았다. 수억 달러 규모의 자금이 여전히 온체인에서 이동했지만, 활동은 혼란 속에서도 운영이 가능한 소수의 고액 참여자로 축소되었다. 요약하면, 외부 갈등은 자본 이동을 가속화한 반면, 국내 불안은 참여 자체를 제한하는 요인으로 작용했다.
이란의 불법 활동 흐름이 전체에서 차지하는 비중은 안정적으로 유지되었다
2025년 이란의 불법 가상자산 총 5억 8천만 달러를 약간 넘었으며, 이는 관측된 활동의 약 5.9%를 차지했습니다. 2024년에는 불법 활동이 관측된 총 거래량의 약 5.1%인 6억 달러를 차지했습니다. 불법 거래량은 전체 활동량 감소에 따라 소폭 하락했으나, 총 거래량에서 차지하는 비중은 안정적으로 유지되어 불법 및 제재 회피 사용이 구조적으로 내재되어 있다는 관점을 강화했습니다. 추가 불법 활동이 확인됨에 따라 이 수치는 상향 조정될 수 있습니다.
양년간 이란의 불법 활동은 압도적으로 스테이블코인, 특히 USDT에 집중되었다. 이러한 선호는 USDT의 유동성, 낮은 거래 비용, 중개자 매개 결제 네트워크와의 호환성을 반영한 것으로 보인다. 주변부에서는 행위자들이 대체 자산과 경로 설정 기법을 활용해 거래를 층층이 쌓아가는 방식을 지속했으나, 이러한 방법들은 핵심 결제 자산으로서 USDT를 대체하기보다는 보완하는 역할을 했다.
사례 연구: 이란 혁명수비대(IRGC) 연계 가상자산 네트워크 내부
TRM 분석 결과, 영국에 설립된 두 가상자산 이란 이슬람 혁명수비대(IRGC)와 연계된 해외 금융 인프라 역할을 하면서 수억 달러 규모의 스테이블코인 처리한 것으로 확인됐다. 영국에 Zedcex 및 Zedxion으로 등록된 이들 기관은 공개적으로는 일반 가상자산 플랫폼으로 행세했으나, 온체인 및 기업 기록에 따르면 이들은 광범위한 제재 회피 생태계 내에 내재된 단일 거래소 기업으로 운영된 것으로 나타났습니다.
2023년부터 2025년 사이, Zedcex 활동의 상당 부분은 이란 혁명수비대(IRGC)가 통제하는 단체와 연계된 지갑과 관련되었습니다. 2023년 IRGC 관련 거래량은 약 2,400만 달러로 관측된 활동의 약 60%를 차지했습니다. 이 비중은 2024년 급격히 증가하여 IRGC 관련 거래량이 약 6억 2,000만 달러(전체 거래량의 약 90%)로 늘었으나, 2025년에는 비(非) IRGC 관련 활동이 증가하면서 약 4억 1,000만 달러로 감소했습니다. 이 기간 동안 Zedcex는 주로 TRON 블록체인의 USDT로 IRGC 관련 거래 약 10억 달러를 처리했으며, 이는 낮은 수수료, 높은 유동성, 광범위한 중개사 수용을 제공하는 조합입니다.
기업 기록에 따르면 두 거래소는 온체인에서 관찰된 활동 규모에도 불구하고 가상 사무실 주소, 중복된 이사, 반복적인 휴면 신고를 통해 영국에 설립되었습니다. 설립 순서와 경영진 변경은 운영의 분리보다는 연속성을 시사합니다. 초기 기업 지배 구조는 이란 관련 제재 회피를 도운 유럽 연합(EU) 미국과 유럽 연합(EU) 으로부터 제재를 받은 금융업자 바박 모르테자 잔자니와 연결되어 있었다. 제드섹스 사례는 거래소 브랜드의 가상자산 해외에서 운영되면서도 제재 대상 경제권과 기능적 유대를 유지하는 광범위한 패턴을 반영한다.
온체인 추적 결과, Zedcex 관련 지갑이 이스라엘 당국이 IRGC 소유로 지정한 주소 및 스테이블코인 블랙리스트에 올린 주소와 직접 연결된 것으로 확인됐다. 자금은 IRGC 통제 지갑, 해외 중개업체, 국내 이란 거래소 간에 이동하며 제재 대상 자금 흐름을 이란의 광범위한 가상자산 통합시켰다. 최소 한 인스턴스 사례에서 TRM은 중개 경로 없이 Zedcex 연계 인프라에서 미국이 지정한 IRGC 관련 테러 자금 지원자에게 1천만 달러를 초과하는 직접 송금이 이루어진 것을 관찰했습니다.
이러한 결과들을 종합해 보면 제재 위험의 변화를 보여준다: 제재 대상 행위자들이 가상자산 일시적으로 악용하기보다는 점차 가상자산 인프라 자체 내에서 운영하거나 그 안에 침투하고 있어, 플랫폼 통제, 실질적 소유권, 그리고 기존 컴플라이언스 접근법의 한계에 대한 근본적인 의문을 제기하고 있다.
{{premium-content_chapter-divider}}
가상자산 및 악용
<h3 class="premium-content_subhead">Operational compromise drove USD 2.9 billion in losses</h3>
2025년, 불법 행위자들은 약 150건의 별개의 해킹 및 악용을 통해 총 28억 7천만 달러를 탈취했습니다.³ 사건 발생 건수는 최근 몇 년간과 대체로 유사했으나, 공격 경로의 구조적 변화로 인해 손실 규모는 급격히 증가했습니다: 공격자들은 스택 상위로 이동하여 스마트 컨트랙트 운영 인프라(키, 지갑, 제어 평면) 스마트 컨트랙트 표적으로 삼았습니다.
2월 발생한 대규모 바이빗 해킹 사건이 해당 연도의 전체 피해액 14억 6천만 달러(51%)를 차지하며 시장을 주도했다. 상위 10개 사건이 연간 총 피해액의 81%를 기록한 이 같은 손실 집중 현상은 위협 환경이 성숙 단계에 접어들었음을 시사한다. 정교한 행위자들, 특히 북한(DPRK)과 연계된 세력들은 더 이상 단순히 코드를 악용하는 데 그치지 않고 가상자산 서비스의 운영 기반과 주변 생태계 자체를 침해하고 있습니다.
{{28-2026-crypto-crime-report-footnote-3}}
정교한 행위자들이 집중 위험을 주도했다
.png)
2025년 해킹 사건 연간 총계는 대규모 해킹 사건에 크게 치우쳤으며, 일부 경우 치명적인 실패로 이어졌습니다. 평균 사건 규모는 1,950만 달러로 증가한 반면, 중간 사건 규모는 130만 달러로 감소했습니다. 2025년에는 단 5건의 사건이 도난당한 가상자산 70%를 차지했습니다.
이 격차 확대는 '롱테일' 위험 환경을 보여줍니다: 소수의 초대형 해킹 사건이 글로벌 손실 규모를 주도하는 반면, 다수의 소규모 사건들은 가상자산 전반에 지속적인 피해를 입히고 있습니다.
공격 벡터가 인프라로 전환됨
TRM의 데이터셋은 해킹 및 악용 사례를 다섯 가지 최상위 범주로 분류합니다: 인프라 공격, 코드 악용, 프로토콜 공격, 미확인, 기타. 2025년에는 운영상 침해와 온체인 악용 간의 격차가 뚜렷했습니다 — 인프라 공격이 손실의 압도적 다수를 차지했습니다.
.png)
코드 악용이 가장 빈번한 유형(52건)이었으나, 전체 손실액에서 차지하는 비중은 상대적으로 작았습니다(3억 5천만 달러, 12.1%) — 평균적으로 사건당 약 670만 달러였습니다. 프로토콜 공격은 발생 빈도는 낮았으나(25건) 평균 피해 규모는 더 컸습니다(2억 7,700만 달러, 9.6%) — 건당 약 1,110만 달러에 달했습니다.
대조적으로, 개인 키/시드 문구, 지갑 인프라, 특권 접근, 프론트엔드 표면의 침해를 포함하는 인프라 공격은 45건의 사건에서 총 22억 달러(76%)의 손실을 초래했으며, 사건당 평균 약 4,850만 달러에 달했습니다. 따라서 2025년에 가장 두드러진 패턴은 운영상의 침해였으며, 이는 종종 사회공학, 개발자 환경 침투, 또는 접근 제어 및 인출 거버넌스(governance) 취약점으로 인해 가능해졌습니다.
바이빗 해킹 사건이 트렌드를 정의했다
2025년 2월 바이빗 해킹 사건 — TRM이 북한 요원들의 소행으로 평가한 — 이 해의 결정적 사건이었다. 단일 사건으로 14억 6천만 달러가 탈취된 바이빗 사건은 연간 총액을 왜곡시켰다. 그러나 이는 위협의 현실을 명확히 보여주기도 했다.
바이빗을 제외하더라도 2025년 손실액은 총 14억 달러에 달했을 것이며, 이는 범죄 활동의 지속적인 기반을 강조한다. 더 중요한 것은 이번 침해 사건이 오랫동안 관찰된 역학을 입증했다는 점이다: 최상위 공격자들에게 가장 높은 투자 수익률(ROI)은 스마트 계약의 새로운 논리적 오류를 발견하는 것보다 중앙 집중식 기관의 운영 인프라(키, 서명자, 지갑 오케스트레이션)를 침해하는 데 점점 더 많이 발생한다.
북한과 중국의 세탁소
TRM Labs 2025년 북한 관련 행위자(DPRK)에게 19억 2천만 달러를 귀속시킵니다. 2025년 데이터는 또한 도난당한 자산이 도난 후 처리되는 방식의 지속적인 진화를 반영합니다. 북한 운영자들은 점차 "중국 세탁소" 네트워크에 의존하고 있습니다. 이는 수사관들이 대규모로 자금을 인출하고 정산하는 것을 용이하게 하는 전문적인 장외(OTC) 중개인과 지하 중개인을 지칭하는 용어입니다.
이러한 네트워크는 하청 세탁 서비스를 제공합니다: 대량 장외 중개업체들이 도난 자산을 흡수해 오프체인에서 정산함으로써, 절도 행위와 현금화 지점 사이의 거리를 벌립니다. 또한 체인 호핑과 분할을 용이하게 합니다: 체인과 서비스 간 신속한 이동을 통해 추적성을 차단하고 유동성을 현금화 경로로 유도합니다. 이러한 전문화는 회수를 복잡하게 만듭니다. 층층이 중개자를 통해 도난 자산을 더 빠르게 이동시킬수록 차단할 수 있는 시간이 더 좁아지기 때문입니다.
자세한 내용은 '북한과 암호화폐 절도의 산업화'를 참조하십시오.
2026년 운영상 최우선 과제
2025년 데이터에 따르면 주요 위험 영역은 운영 측면입니다. 스마트 컨트랙트 필요하지만 더 이상 충분하지 않습니다.
인프라 침해 사고로의 전환은 하드웨어 기반 키 보관 및 엄격한 서명자 격리, 인출 거버넌스(governance) 속도 제어 및 계층적 승인을 통한 침해된 접근의 피해 범위 제한 포함 거버넌스(governance) 개발자 환경 및 특권 시스템에 대한 운영 보안 강화의 중요성을 강조합니다. 또한, 산업화된 자금 세탁과 일치하는 복잡한 크로스체인 라우팅을 탐지하기 위해 엔티티 스크리닝을 넘어선 유형 기반 모니터링은 보다 선제적인 대응을 가능하게 할 것입니다.
{{premium-content_chapter-divider}}
사기
<h3 class="premium-content_subhead">The fraud landscape evolved through converging typologies</h3>
2025년 한 해 동안 행위자들이 사기 가상자산 송금한 가상자산 규모는 약 350억 달러로, 지난해 수취액 380억 달러와 비슷한 수준이다. 이 수치는 사기 관련이 확인된 지갑으로 추적된 자금과 공개 신고 및 사고 대응 채널을 통해 제출된 추가 피해자 신고 스캠 종합한 결과이다.
TRM의 현재 데이터셋은 사기 건수가 감소한 것으로 나타나지만, 이는 실제 사기 활동이 줄어든 것으로 해석되어서는 안 됩니다. 사기 신고는 종종 지연되며, 피해자의 신고가 표면화되기까지 몇 주 또는 몇 달이 걸립니다. 또한 대부분의 피해자는 당혹감, 평판 손상에 대한 두려움, 신고처에 대한 불확실성, 자금 회수 가능성에 대한 회의감, 범죄 발생 인식 부족 등의 요인으로 인해 전혀 신고하지 않습니다. 결과적으로 관측된 사기 총량은 시간이 지남에 따라 보고된 수치가 계속 증가하더라도 실제 활동 규모를 거의 항상 과소평가합니다.
2025년 TRM은 검증된 사기 금액으로 230억 달러를 확인했으며, 커뮤니티 신고와 연계된 추가 사기 금액은 120억 달러에 달했습니다. 사기꾼들이 더욱 정교해지고 빠르게 적응함에 따라, 커뮤니티 신고와 공유된 신고 네트워크는 새로운 스캠 조기에 발견하고, 어트리뷰션 가속화하며, 손실이 더 확대되기 전에 사기를 차단하는 데 점점 더 중요해지고 있습니다.
가상자산 점점 더 기업형 구조, 전문화, 효율성을 갖춘 조직화된 집단에 의해 주도되고 있다. 스캠 도구를 공개적으로 공유하고, 검증된 플레이북을 재사용하며, 합법적인 채용 과정과 유사한 인력 모집 체계를 운영한다.
금융 사기 외에도 많은 대규모 스캠 인신매매, 강압, 폭력을 동원하는 스캠 연계되어 있으며, 일부는 지역 권력 구조와 유착 관계를 유지하기도 합니다. 정부는 스캠 연계된 단체 및 개인을 대상으로 한 제재를 포함한 보다 직접적인 단속을 시작했습니다.
투자 사기가 주를 이루었지만, 수법은 수렴하는 양상을 보였다
과거와 마찬가지로 투자 관련 사기 수법이 피해자 손실의 대부분을 차지했으며, 2025년 사기 유입액의 62%를 기록했습니다. 이 범주 내에서 TRM은 돼지도살 피라미드/폰지 사기와 관련된 피해자 손실을 관찰했으며, 이 두 유형은 가장 두드러진 하위 유형으로 계속해서 상위권을 유지했습니다.
재택근무 사기도 피해 증가의 원인으로 부상했다. 이 사기 수법은 피해자들에게 리뷰 작성, 광고 클릭, 콘텐츠 '최적화' 등 유료 소규모 작업을 제공하는 가짜 플랫폼으로 유도한다. 피해자에게는 조작된 계좌 잔고와 수익이 제시된 후, 자금 인출을 위해 수수료, 보증금 또는 세금을 지불하도록 압박합니다. 개인별 피해 규모는 다르지만, 취업 사기는 대량 표적화를 통해 규모를 확대하는 경우가 많아, 피해자당 손실액이 정교한 장기 사기보다 낮더라도 총 피해액은 크게 증가합니다.
가상자산 현재 상태에서 두드러지는 추세는 서로 다른 스캠 융합이다. 피해자의 사기 경험은 점점 더 로맨스 사기, 투자 사기, 선불 사기 등 여러 사기 유형의 요소를 결합한 다단계로 진행됩니다. 돼지도살 이러한 중첩을 스캠 돼지도살 : 스캠 로맨틱한 관계로 스캠 허위 투자 기회로 전환된 후, 세금이나 행정 수수료 명목으로 추가 자금을 요구하는 사기꾼의 요구로 끝나는 스캠 . 사회공학 기법이 여전히 사기 캠페인의 핵심 요소이긴 하지만, 이제는 사기를 더 대규모로 확장하고 탐지를 어렵게 만드는 기술적·조직적 혁신으로 강화되고 있습니다.
이러한 계층적 접근 방식은 사기 네트워크가 더욱 정교한 캠페인으로 전환하는 광범위한 추세를 반영합니다. 네트워크는 기업처럼 운영되며, 대규모로 피해자를 표적화하고 악용하기 위해 전문화된 팀과 표준화된 플레이북을 활용합니다. 이러한 진화를 뒷받침하는 것은 불법 서비스 제공업체로 구성된 성장하는 생태계입니다. 일부는 AI-as-a-service 도구를 제공하여 접근 및 교섭을 자동화하고, 다른 업체들은 피싱 키트를 판매하거나 유출된 데이터에 대한 접근 권한을 제공합니다. 이러한 서비스는 사기 행위자들의 진입 장벽을 낮추고, 그들이 여러 지역에서 사기를 복제할 수 있게 합니다.
단속에 적응하고 자금 세탁 규율을 개선한 스캠
스캠 단속 압박에 대응해 자금 세탁 전술을 진화시켰다. 과거에는 대량의 스테이블코인 장기간 유휴 상태로 남아 동결이나 수사 개입의 기회를 제공했다. 그러나 2024년 이후 많은 사기 관련 네트워크들은 보유 기간을 단축해 48시간 이내에 자금을 재이동시키는 경우가 많아졌다.
사기꾼들은 온체인에서 자금을 이동하고 관리하는 방식의 복잡성도 높였습니다. 동결과 추적을 어렵게 하기 위해, 그들은 종종 수익금을 ETH나 DAI처럼 동결되기 어려운 자산으로 전환한 후, 현금화 지점에 가까워지면 USDT나 USDC 같은 스테이블코인으로 잠시 이동시킵니다. 이러한 변화는 TRM의 잔액 데이터에 반영됩니다: 2024년과 2025년 동안 스캠 지갑에 보관된 평균 가치는 급격히 감소했으며, 이는 더 빠른 자금 회전과 더 짧은 보유 기간을 시사합니다.
인공지능 도구가 사기 운영을 확대했다
사기 네트워크는 점점 더 생성형 인공지능을 활용해 접근성, 사칭, 설득력을 높이고 있으며, 인공지능 기반 스캠 지난 1년간 약 500% 증가했다.
대규모 언어 모델(LLM)은 사기 행위가 언어와 문화적 맥락을 가로지르는 데 있어 마찰을 줄여주며, AI 생성 이미지, 음성 복제, 딥페이크 영상은 설득력 있는 인물을 만드는 비용을 낮춥니다. 이러한 능력은 메시징 플랫폼, 채용 캠페인, 투자 사기 등 다양한 영역에서 사칭형 사기를 확산시키고 있으며, 피해자가 스캠 인지하고 있음에도 속을 가능성을 높입니다.
TRM Labs에서 설명한 바와 같이 TRM Labs의 'AI 기반 범죄의 부상 보고서' 및 관련 간행물에서 설명한 바와 같이, 음성 복제와 같은 AI 전술은 WhatsApp, 가짜 채용 사이트, 경품 행사 등을 통한 사칭 사기를 가능하게 했습니다. 이 중 상당수는 현재 엘론 머스크와 같은 유명인의 조작된 딥페이크 추천을 사용하고 있습니다.
TRM의 2025 가상자산 보고서에서 논의된 바와 같이, 또 다른 흔한 유형은 투자와 무관한 승인된 송금(APP) 사기로, 피해자들이 세무 당국, 금융 전문가 또는 변호사 행세를 하는 사기꾼들에게 자금을 이체하도록 조작당하는 경우입니다.
인공지능 생성 멀티미디어가 투자 사기 캠페인에 점점 더 많이 활용되고 있다. 스캠 이제 웹사이트와 소셜 미디어용 전문적인 브랜딩 자산을 생성하기 위해 생성형 도구를 일상적으로 사용하는데, 여기에는 로고, 이미지, 심지어 딥페이크 아바타가 등장하는 동영상까지 포함된다. 이는 초기 비용을 절감하고 신속한 리브랜딩, 인프라 재활용, 대규모 신규 스캠 출시를 용이하게 한다.
스테이블코인이 검증된 사기 유입액에서 압도적 비중을 차지하며 사기 거래량의 84%를 기록했습니다
유입 측면에서 TRM의 검증된 사기 데이터셋에 따르면 스테이블코인이 사기 계획에 대한 예금의 주요 수단이며, 그 비중은 매년 의미 있게 증가하고 있습니다. 2024년 사기 유입 자금의 약 70%를 차지했던 스테이블코인은 2025년에는 약 84%로 증가할 전망이다. 이는 사기 행위자들이 높은 유동성과 광범위한 거래소 수용성, 피해자 대상의 쉬운 액면화, 주소 및 서비스 간 마찰 없는 이동성을 제공하는 자산을 지속적으로 선호한다는 점을 반영한다.
피라미드 사기와 폰지 사기는 여전히 주요 손실 요인으로 남아 있다
2025년 피라미드 및 폰지 사기는 피해자 자금 약 61억 달러를 유치했으며, 이는 2024년 대비 49% 증가한 수치로 2023년 수준과 대체로 유사합니다. 이러한 증가는 부분적으로 1억 달러 이상의 자금을 모은 대규모 사기 사건의 증가에 기인한 것으로, 2025년에는 13건으로 증가했으며, 이는 2024년의 6건, 2023년의 14건과 비교한 수치입니다.
TRM Labs 2025년에 재등장한 기존 분산형 투자 사기 수법의 새로운 변종들을 확인했으며, 운영자들은 기존 인프라를 거의 그대로 유지한 채 사기 조직을 해체하고 재구성하는 방식으로 활동하고 있습니다. 이러한 피라미드식 운영 구조는 투명하고 변경 불가능하다고 홍보되는 다수의 스마트 계약을 중심으로 구성됩니다. 그러나 실제로 대부분의 참여자들은 해당 코드의 합법성을 독립적으로 평가하고 검증할 기술적 역량을 갖추지 못한 상태입니다.
주요 피라미드 및 폰지 사기 사건들은 글로벌 규모로 운영되며 관할권을 가리지 않고 기회주의적으로 확산되는 양상을 보이지만, TRM 분석에 따르면 2025년 최대 규모 사기 사건 다수는 개발도상국 시장과 경제적으로 취약한 지역사회에서 가장 강력하게 확산된 것으로 나타났다. 예를 들어 약 2억 5천만 달러 이상의 피해자 자금을 모은 CBEX는 나이지리아에서 상당한 영향력을 확보했으며, 약 8억 달러를 모은 Treasure NFT는 인도와 파키스탄에서 광범위하게 확산되었다.
사례 연구: 프린스 그룹의 가상자산 인프라와 HuiOne Pay의 역할
프린스 그룹은 지금까지 적발된 돼지도살 스캠 중 최대 규모 중 하나다. 2025년 10월, 미국과 영국은 프린스 그룹 초국적 범죄 조직과 관련된 다수의 개인 및 단체에 제재를 가했다. 동시에 미국 Department of Justice DOJ(미국 법무부))은 프린스 그룹의 창립자이자 회장인 천즈(Chen Zhi)를 캄보디아 전역에 걸쳐 프린스 그룹이 운영하는 강제 노동 스캠 지휘한 혐의로 자금 세탁 공모죄로 기소하는 기소장을 제출했다.
자금 세탁 경로의 작동 방식
기소장에 따르면, 천 씨와 프린스 그룹은 전문 자금 세탁 조직을 이용하거나 워프 데이터(Warp Data)와 루비안 마이닝(Lubian Mining) 등 두 채굴 회사를 포함한 프린스 그룹의 합법적 사업 운영을 통해 자금을 우회하는 등 다양한 방법으로 사기 수익금을 세탁한 혐의를 받고 있다. 이후 해당 자금은 때때로 천 씨 본인에게 송금된 것으로 보인다.
미국이 블록체인 상에서 압수한 127,271 비트코인의 상당 부분과 비트코인 채굴 활동, 특히 루비안 마이닝(Lubian Mining) 간에 명확한 연관성을 추적할 수 있다. 혐의에 따르면 피해자 자금은 세탁되어 법정화폐로 전환된 후 채굴 장비 구매 및 관련 운영 비용 지원에 사용된 것으로 보인다. 이 과정의 상당 부분이 오프체인에서 발생하기 때문에 블록체인 데이터만으로는 이러한 연관성을 완전히 추적하기 어려울 수 있다.
운영 비용, 인프라 구매, 에너지 비용 등을 통해 금융 연결이 오프체인(off-chain)으로 전환될 수 있어 추적 가능성 분석이 더욱 복잡해집니다. 이는 조직이 온체인(on-chain)과 오프체인(off-chain) 단계를 혼합한 절차를 통해 수익금을 지속적으로 재활용할 수 있는 다층적 자금 세탁 모델을 가능하게 합니다. 이로써 유동성과 통제력을 유지하면서도 노출 줄일 수 있습니다.
HuiOne Pay는 대량 금융 게이트웨이입니다
제재 대상 캄보디아 대기업 HuiOne Group은 동남아시아에서 운영되는 스캠 포함해 Prince Group 관련 불법 활동의 핵심 금융 지원처다. TRM은 Prince Group과 연계된 에스크로 서비스가 자금의 거의 80%를 HuiOne Pay 관련 지갑으로 송금한 사실을 확인했으며, 이는 Prince 관련 노드에서 HuiOne의 결제 인프라로 직접 자금이 유입되었음을 보여준다.
이러한 수준의 의존성이 중요한 이유는 중개 노드가 반복 가능한 경로, 대용량 라우팅, 대규모 자금 흐름을 운영적으로 관리 가능하게 하는 서비스 접근성을 제공하기 때문입니다. 스캠 이 규모에서 단일 중개자에 의존할 경우, 해당 주체는 구조적 의존 관계가 되어 자금 이동을 가속화하고 차단 가능 기간을 축소하며, 연결된 활동과 상호작용할 수 있는 기관들의 하류 위험을 확대할 수 있습니다.
HuiOne Pay는 대규모 자금 이동 및 집중이 가능한 고효율 촉진 계층으로 기능합니다. 이러한 규모는 시간의 흐름에 따른 활동에서 확인할 수 있습니다. 초기에는 월 수천만 달러(예: 2020년 12월 약 4,400만 달러)였던 유입 규모가 2024년과 2025년에는 월 수십억 달러로 꾸준히 증가하여 2025년 7월에는 약 47억 달러로 정점을 찍었습니다. 이러한 일관되고 대량의 처리량이 바로 이러한 촉진자 인프라를 매우 가치 있게 만드는 요소입니다.
HuiOne Pay는 2025년 12월 2일 현재 뱅크런으로 보이는 사태 이후 운영을 중단하고 출금을 정지했습니다. 활동 수준은 이러한 혼란을 반영하는 것으로 보입니다: 2025년 대부분 기간 동안 월 수십억 달러를 처리하던 입금 규모가 2025년 11월 약 8억 300만 달러로 급감했으며, 2025년 12월에는 약 1억 달러 수준으로 떨어졌습니다. 이러한 유동성 문제와 이후 발생한 뱅크런이 HuiOne과 Prince Group을 대상으로 취해진 공동 조치의 직접적인 결과인지는 즉시 명확하지 않습니다.
매핑 행동을 매핑 집행 강화
프린스 그룹 사건의 핵심 교훈 중 하나는 주요 스캠 종종 적응을 통해 단속 속에서도 운영을 유지한다는 점이다. 노출 지갑 교체, 중개자 변경, 경로 재구성, 신규 클러스터 간 활동 분산 등이 포함된다. 알려진 노출 빠르게 구식이 되며, 정적인 감시 목록에 의존하면 사각지대가 발생할 수 있다. 그러나 시스템이 어떻게 통합되고, 유동성을 어떻게 단계적으로 조성하며, 어떤 조력자들이 시간이 지나도 일관성을 유지하는지와 같은 행동 양상은 지속된다.
이러한 적응성 때문에 매핑 그 상호작용 방식을 매핑 것이 중요합니다. 파괴적 혁신에 대한 가장 견고한 신호는 종종 단일 식별자가 아닌 인프라와 운영상의 병목 지점과 연결됩니다. 아키텍처가 온전하게 유지된다면, 개별 지갑이나 주체가 생태계에서 제거되더라도 조직은 가치를 계속 이동시킬 수 있습니다.
이 사례는 컴플라이언스 및 수사팀에 여러 시사점을 제공합니다. 스캠 노출 종종스캠 직접스캠 노출 , 유동성 시장으로 유입되기 전에 중개자를 거치는 다층적 자금 흐름을 통해 점차적으로 드러납니다. 채굴 연계 활동은 순수한 수익 추구 목적보다 가치 변환 수단으로 활용될 수 있어 추적 가능성에 대한 문제를 야기합니다. 특히 반복적인 경로 채널로 기능할 때, 중개자 노드는 위험 증폭 장치이자 교란 기회로 작용하는 의존성을 창출할 수 있습니다.
{{premium-content_chapter-divider}}
랜섬웨어
<h3 class="premium-content_subhead">Ransomware activity remained elevated in 2025 as victim claims surged</h3>
랜섬웨어 가장 지속적인 형태의 사이버 범죄 중 하나로, 공격자들은 시스템을 암호화하거나 데이터를 훔친 후 접근 권한을 복원하거나 공개 유출을 막기 위해 가상자산 요구합니다.
2025년 랜섬웨어 가상자산 최근 최고 수준에는 미치지 못했지만 여전히 높은 수준을 유지했다. 보고된 지불 규모는 안정적으로 보였으나, 랜섬웨어 더욱 공격적으로 변모했다. 유출 사이트에 게시된 피해자 수가 급증하며 공격 활동과 갈취 압박이 증가했음을 시사했다. 증가하는 피해자 신고 건수와 정체된 지불 총액 사이의 격차가 확대되면서, 더 많은 표적들이 요구를 거부하거나 지불 없이 복구하는 것으로 보인다.
새로운 랜섬웨어 생태계를 뒤덮었다
피해자 신고가 증가하는 가운데, 랜섬웨어 활성 및 신규 변종 수가 증가했습니다. 내부 정보와 오픈소스 보고서를 교차 참조한 결과 , 2025년에는 93개의 새로운 랜섬웨어 등장하여 2024년 대비 94% 증가한 것으로 나타났습니다. 연말까지 더 넓은 생태계는 Beast, Business Data Leaks, Crypto24, Devman Group, Sinobi, SafePay 등 새로 관찰된 그룹을 포함하여 161개의 활성 변종으로 확대되었습니다. 이러한 분열 추세는 2023년 이후 더욱 심화되었습니다. BlackFog의 2024년 랜섬웨어 현황 랜섬웨어 , 2024년에는 48개의 새로운 랜섬웨어 확인되었으며, 이는 2023년 대비 약 65% 증가한 수치입니다. 2025년에는 생태계의 교란과 변화로 인해 전례 없는 규모의 신규 진입자가 발생했습니다.
이러한 급속한 성장을 이끄는 요인은 여러 가지로 보입니다. LockBit, BlackBasta, BlackSuit, ALPHV/BlackCat과 같은 유명 그룹에 대한 대규모 단속은 기존 생태계를 분열시키고 제휴사, 개발자, 접근권 중개인을 이탈시켰습니다. 이들 중 상당수는 재편성 및 리브랜딩을 하거나 독립적인 운영을 시작했습니다. 동시에 랜섬웨어(RaaS)의 성숙화로 진입 장벽이 낮아졌습니다. 유출된 도구, 즉시 사용 가능한 플레이북, 기존 브랜드에 가해지는 압박 증가로 인해 분열과 재출시가 매력적인 생존 전략이 되었습니다. 이러한 역학이 종합적으로 작용하여 랜섬웨어 전반에 걸쳐 이탈을 가속화했으며, 이는 과거 어느 해보다 빠른 속도로 새로운 그룹의 형성을 촉진하고 있습니다.
2025년에 등장한 랜섬웨어 중 SafePay가 가장 많은 피해자를 기록했으며, Flashpoint 데이터에 따르면 2025년 12월 기준 452명에 달했다. SafePay는 RaaS 생태계 전반에 걸쳐 흔히 볼 수 있는 제휴 기반 모델을 거부한 것으로 유명하지만, 그 성과는 여전히 2025년 랜섬웨어 형성하는 광범위한 패턴을 반영합니다: 높은 피해자 수가 반드시 비례하는 몸값 수익으로 이어지지는 않아, 점점 더 많은 피해자들이 지불을 선택하지 않는다는 징후를 강화하고 있습니다.
랜섬웨어 연간 수익 기준으로도 변종 간 분산화 추세를 보이고 있다. 활동 중인 변종들을 연간 총 수익 규모로 분류했을 때, 고수익 변종들과 함께 하위 및 중간 수익 계층에서도 증가세가 관찰된다. 이러한 변화는 2025년 확산이 소규모 운영의 증가하는 롱테일 현상에 의해 주도될 뿐만 아니라, 생태계 경쟁 심화로 신규 변종들이 더 높은 수익 수준에 도달함에 따라 발생하고 있음을 시사한다.
온체인 자금 세탁은 브릿지, 믹서 및 리버전 패턴을 활용했다
랜섬웨어 2024년과 2025년에 고위험 서비스에 대한 단속 및 강화된 모니터링에 대응하여 결제 후 자금 세탁 방식을 진화시켰습니다. TRM 데이터에 따르면 위협 행위자들이 결제 수령 후 자금을 이동하는 방식에 뚜렷한 변화가 관찰되며, 경로 설정 유연성과 새로운 유동성 시장 접근성을 제공하는 크로스체인 메커니즘을 점점 더 선호하는 것으로 나타났습니다.
이 기간 동안 브릿지 관련 활동은 66% 증가한 반면, 믹서 관련 활동은 37% 감소했습니다. 이러한 차이는 많은 행위자들이 전통적인 프라이버시 강화 서비스보다 더 빠른 크로스체인 이동을 우선시하고 있음을 시사합니다. 비록 이러한 자금 흐름이 사건이나 관련자 간에 패턴이 반복될 경우 여전히 높은 추적 가능성을 유지할 수 있음에도 불구하고 말입니다.
랜섬웨어 주요 교란을 일으켰으나 완전히 소멸되지는 않았다
2025년은 랜섬웨어 전례 없는 혼란이 일어난 해였습니다. 록빗(LockBit)과 같은 유명 그룹들의 붕괴와 함께, Operation Endgame 작전의 지속적인 노력으로 생태계의 주요 지원 체계가 무력화되면서 기존 네트워크와 제휴사들이 분열되었습니다. 그러나 랜섬웨어 이에 대응하여 2025년 신규 변종 수를 사상 최고치인 93종으로 끌어올렸습니다. 이러한 혼란은 아키라 ( Akira )와 같은 기존 변종들의 활동이 더욱 정교해지는 계기가 되었습니다.
사례 연구: 아키라, 운영 규모와 세탁 정교함 보여줘
아키라는 2025년에도 가장 활발한 랜섬웨어 중 하나로 남아, 유출 사이트 피해 규모 기준으로 아젠다/기린과 번갈아 가며 가장 많은 피해를 입혔다. 아키라는 2025년 한 해 동안만 1억 5천만 달러를 챙겼는데, 이는 두 번째로 활발한 변종인 아젠다/기린의 거의 두 배에 달하는 금액이다.
2023년부터 활동 중인 아키라(Akira)는 RaaS(랜섬웨어 서비스) 모델로 운영되며, 암호화와 함께 탈취한 데이터 공개 위협을 결합한 이중 갈취 전술을 사용합니다. 피해 대상은 다양한 산업 분야와 지역에 걸쳐 있으며, 공개된 보고서에 따르면 이 그룹은 대형 기관 및 서비스 제공업체에 영향을 미친 여러 주요 사건과 연관되어 있습니다.
타겟팅 및 지리적 범위
아키라는 전 세계 조직에 영향을 미쳤으며, 피해는 미국, 캐나다, 브라질, 호주 및 여러 유럽 국가에 집중되었습니다. 공격 대상은 다양한 분야에 걸쳐 있으며, 공개된 보고서에 따르면 아키라는 스탠퍼드 대학교, 닛산 오스트레일리아, 핀란드 IT 공급업체 티에토에브리를 포함한 여러 주요 사건과 연관되어 있습니다.
배우 계보 및 기술 노트
보안 연구원들은 코드 및 운영 랜섬웨어 유사점을 확인했으며, 랜섬웨어 개발자 도구 중복 사용 또는 제휴사 공유 가능성을 시사한다.
중복되는 요소에는 러시아와의 연계가 포함되며, 러시아 또는 더 넓은 구소련 지역을 기반으로 하는 개발자들의 증거가 포착되었습니다. 특히, 러시아어권 지역에서 활동하는 많은 랜섬웨어 달리 아키라의 악성코드는 러시아어 키보드 배열이 감지될 때 실행을 중단하는 전형적인 안전 장치를 포함하지 않습니다. 그럼에도 불구하고, 다크 웹 사이버 범죄 포럼에서 러시아어로 소통하는 그룹의 관찰을 포함하여 여러 지표가 러시아 기원을 가리키고 있습니다.
운영 및 온체인 진화
아키라는 활동 기간 동안 데이터 탈취 메커니즘, 협상 방식, 표적 패턴을 지속적으로 개선해 왔으며, 이는 감시가 강화되었음에도 진화하는 적응형 RaaS(Ransomware-as-a-Service) 모델을 시사한다.
아키라 랜섬웨어 결제 후 자금 세탁 TTP(전술, 기술 및 절차) 측면에서 최소 네 차례의 뚜렷한 진화를 랜섬웨어 .
1단계 (2023년)
초기 아키라 결제 흐름은 일관된 온체인 행동 패턴을 기반으로 추정되는 '제휴사'별로 분류될 수 있다. 여기에는 중개 주소 재사용, 다수 피해자 결제에서 자금을 수령하는 지갑 클러스터, 공유된 현금화 지점 및 기타 관찰 가능한 거래 패턴 등이 포함된다.
2단계 (2024년 초~중반)
아키라는 완체인(WanChain)을 활용한 보다 표준화된 자금 세탁 프로세스로 전환했다. 대부분의 피해자 지급금은 단일 완체인 주소로 유입된 후 전 세계 여러 가상자산 서비스 제공업체(VASP)를 통해 현금화되었다.
3단계 (2024년 말)
해당 그룹은 모든 수익금을 디파이웨이 브리지를 통해 처리하는 방식으로 전환했습니다. 이 기간 동안 FOG 랜섬웨어 동일한 자금 세탁 방식을 랜섬웨어 , 이는 두 그룹 간의 중복 또는 협력 가능성을 더욱 강화하는 증거로 작용했습니다.
제4단계 (2025년 8월–현재)
아키라는 자금 세탁 워크플로우를 다시 한번 변경했다. 이제 각 지불금은 고유한 중간 계정을 거쳐 두 개의 통합 계정을 통과한 후, 최종적으로 동일한 글로벌 가상자산사업자(VASP)에서 오프램프된다.
라아스(RaaS)로 운영됨에도 아키라의 자금 세탁 패턴은 여전히 고도로 표준화되어 있다. 자금 분배는 동일한 글로벌 가상자산사업자(VASP) 주소로 입금된 후에만 이루어지는 것으로 추정되므로, 관리자-제휴사 간 분배는 온체인에서 여전히 불투명하다.
최근 활동은 아키라의 현재 확립된 자금 세탁 패턴에서 고립된 편차를 시사하는데, 피해자 자금이 먼저 크로스체인 스왑을 통해 이동된 후 토네이도 캐시에 전액 입금되는 방식이다. 이러한 행동은 제휴사 수준의 표준화된 자금 세탁 절차에서 벗어난 것일 수도 있고, 해당 그룹의 자금 세탁 TTP(전술·기술·절차) 진화의 초기 단계일 수도 있다.
2026년 이후의 아키라
아키라가 도구 진화, 자금 세탁 인프라 전환, 표적 다각화를 시도한 점은 해당 조직이 수익 흐름과 제휴사 유지를 위해 계속해서 기술적 수법을 개선할 것임을 시사한다. 방어 측은 결제 후 현금 인출 활동의 가속화, 거래 흐름 분할을 위한 정교한 시도 증가, 보안 성숙도는 낮지만 운영상 영향력이 큰 분야로의 지속적인 확장을 예상해야 한다.
{{premium-content_chapter-divider}}
불법 약물
<h3 class="premium-content_subhead">Russian-language darknet markets, cartels, and Chinese money laundering networks reshaped online drug markets</h3>
다크넷 마켓플레이스 — 거의 전적으로 러시아어 마켓플레이스에 의해 주도됨 — 는 2025년에 유입 물량이 20% 증가했다.
2025년 온라인 불법 마약 거래는 총 34억 달러 이상의 가상자산 발생시켰다. 다크넷 마켓플레이스만 해도 17억 달러를 기록했으며, 이는 2024년 대비 20% 증가한 수치다. 과거와 마찬가지로 이 활동은 러시아어권 다크넷 마켓플레이스가 주도하며, 전체 다크넷 마켓(DNM) 관련 거래량의 90% 이상을 차지했다. 반면 공개 장부가 있는 암호화폐를 사용하는 서구권 다크넷 마켓플레이스의 거래량은 약 6천만 달러로 사실상 정체 상태를 유지했다.
한편, 금지 또는 규제 물질 판매와 연관된 지갑들(독립적인 불법 약물 판매점 포함)은 16억 달러를 수취했으며, 이는 전년 30억 달러 대비 약 45% 감소한 수치다. 모네로(Monero) 같은 프라이버시 코인으로 생성된 거래량을 제외하면, 이는 서구 시장의 상대적 안정성을 시사하는 동시에 러시아어 생태계가 글로벌 다크네트워크 마켓(DNM)의 규모를 지속적으로 확대하고 있음을 강조한다.
러시아어 DNM이 우세했으며, 모네로 사용이 가속화되었다
2025년 글로벌 DNM 활동 분포를 보면 러시아어권 행위자들이 지배하는 생태계가 나타난다. 이러한 불균형은 부분적으로 시장 구조에 기인한다: 러시아어권 DNM은 집행 역량이 제한적이고 부패가 만연한 환경에서 운영된다. 이는 해당 행위자들에게 지속적인 수익성을 보장하는 조건을 조성하며, 그들이 동일한 생태계에 수익을 재투자할 수 있게 하여 기하급수적 성장을 가능케 한다. 러시아어권 DNM으로 유입되는 거래량은 전년 대비 약 20% 증가하여 2024년 13억 달러에서 2025년 16억 달러로 확대되었으며, 이로 인해 시장 운영사들은 플랫폼 개발 및 사용자 확보에 지속적으로 투자할 수 있게 되었다.
과거 신규 마켓플레이스 수가 감소하던 추세와 달리, 2025년에는 21개의 신규 시장이 등장하며 이 추세를 역전시켰다.4 새로 출시된 모네로(XMR) 전용 마켓플레이스의 비중도 계속 증가하여, 신규 다크네트워크 마켓(DNM)의 거의 절반이 XMR만을 지원하는 추세를 보였다. 이 현상은 일반적으로 단속 압력이 높고 프라이버시 코인 수요가 큰 서구 생태계에서 가장 두드러지게 나타났다.
.png)
개별 공급업체의 마약 판매량은 감소했으나, 중국 내 마약 전구체 제조업체들은 여전히 급격한 상승세를 이어갔다
다크넷 마켓플레이스의 거래 가치가 급증하고 새로운 마켓플레이스가 등장하는 동안, 개별 판매자 상점을 통한 마약 판매액은 2025년 10억 달러로 2024년 27억 5천만 달러 대비 60% 이상 감소했다. 이러한 감소는 개별 판매자 상점 대비 다크넷 마켓플레이스가 제공하는 상대적 보안성과 인프라를 선호하는 판매자 행동 변화와, 독립 판매자들이 금융 인프라를 더 빈번히 업데이트함에 따라 가시성이 감소한 점을 반영할 수 있다.
중국 내 마약 전구체 제조업체들은 생태계 내에서 급속히 성장하는 구성 요소로 부각되었다. 개별 공급업체로의 유입량은 2023년 3,090만 달러로 가속화되었으며, 2024년(3,470만 달러)과 2025년(3,910만 달러) 에도 성장이 지속될 전망이다. 이는 합성 마약 생산과 연계된 전구체 공급 시장의 탄력성을 시사한다. 지속적인 단속 압박 속에서도 이러한 유입량의 확장은 지속적인 수요와 대규모로 전구체 공급업체와 거래하는 확고한 구매자 기반을 시사한다.
전반적으로 2025년은 온라인 마약 시장이 성장할 뿐만 아니라 재편되고 있음을 보여준다. 단속 대응으로 새로운 플랫폼이 계속 등장하고 XMR 전용 결제를 채택하는 업체가 늘어나고 있음에도, 활동은 개별 판매자가 아닌 다크넷 마켓플레이스에 여전히 집중되어 있다. 동시에 중국 전구체 상점 유입량의 지속적인 증가는 펜타닐 및 기타 합성 마약 생산을 지탱하는 상류 공급망의 지속성을 부각시킨다.
{{28-2026-crypto-crime-report-footnote-4}}
사례 연구: 카르텔, 중국 자금 세탁 네트워크, 그리고 중국 펜타닐 전구체 공급망의 적응성
합성 마약 공급망은 전문 서비스 제공업체들로 구성된 복잡한 생태계에 의해 유지된다. 멕시코에 기반을 둔 밀매 조직들은 펜타닐 및 기타 합성 오피오이드 판매로 상당한 수익을 창출하는 반면, 일반적으로 중국에서 이루어지는 니타젠과 같은 전구체 및 합성 오피오이드의 상류 생산은 화학 전전구체에 대한 안정적인 접근, 산업 노하우, 기술, 그리고 그들의 운영이 전 세계적으로 이루어지는 점을 고려할 때 관할권을 넘나들며 운영될 수 있는 국경 간 결제 메커니즘에 의존하고 있다.
중국 마약 전구체 제조업체들은 합성 마약 제조에 사용되는 화학물질의 주요 글로벌 공급원이다. 이러한 공급업체들은 단속 압박 속에서도 지속적으로 활동해 왔으며, 이는 지속적인 수요와 상류 제조 및 물류 네트워크의 적응력을 모두 반영한다. 합성 마약 전구체와 완제품의 수취, 가공, 유통에서 다양한 역할을 수행하는 카르텔들은 결제 및 자금 세탁을 용이하게 하기 위해 중간 금융 행위자들에게 의존한다. 중국 자금 세탁 조직(CMLO)과 카르텔 연계 자금 세탁자(CAML)는 마약 관련 수익금을 이동·은닉하고 상류 공급업체와의 결제를 지원한다.
TRM은 CAML을 통해 세탁된 금액이 수십억 달러에 달하며, 2026년 1월 기준 역대 거래량이 30억 달러를 넘어섰다고 추정합니다. 이 중 대부분은 가상자산 속도, 접근 용이성, 보안성 덕분에 자금 세탁 주기의 일부로 점차 가상자산 지난 2년간 발생했습니다. 아래 차트는 이러한 역학 관계를 온체인(on-chain)으로 시각화하여, 카르텔 연계 지갑에서 자금 세탁 네트워크를 거쳐 전구체 공급업체로 흘러가는 자금 흐름을 보여줍니다.
카르텔 자금 세탁 구조 내에서 CMLO는 두 주요 유동성 공급원 사이에 위치하며 중추적 역할을 수행한다: 중국에서 유입되는 대규모 현금 풀(자국의 자본 통제를 회피하려는 부유한 중국 개인들과 종종 연관됨)과 세탁이 필요한 대규모 마약 관련 카르텔 자금이다.
이러한 자금을 이동하기 위해 CMLO는 카르텔 관련 현금을 중국에 기반을 둔 고객과 연계된 비중국계 중개업체, 기업 및 연락처에 예치합니다. CMLO는 이후 중국 기반 거래 상대방으로부터 결제 대금을 수령하고, 무역 기반 자금 세탁(TBML)을 포함한 다양한 경로를 통해 거래 카르텔로 되돌려 보냅니다. CMLO는 일반적으로 카르텔에 상대적으로 낮은 수수료를 부과하지만, 자본 유출 고객에게는 훨씬 더 높은 수수료를 부과하여 그 차액을 이익으로 챙길 수 있습니다.
카르텔은 전문적인 네트워크에 자금 세탁 및 결제 기능을 아웃소싱함으로써 국경 간 결제 과정의 마찰을 줄이고 자금 회전율을 높이며 직접적인 노출 제한할 수 있다. 법 집행 기관에게 이 네트워크 내 금융 중개 기관들은 취약점의 핵심 지점이며, 특히 자금 세탁 주체가 다른 형태의 불법 활동도 지원하는 경우 더욱 그러하다.
사례 연구: 서양 다크넷 시장들, 러시아식 '데드 드롭' 배송 방식 채택으로 폭력 위험 증가
2025년, 일부 서구 다크넷 시장 플랫폼들은 러시아어권 다크넷 마켓(DNM)에서 주로 사용되던 배송 방식인 데드드롭 배송을 실험하기 시작했다. 러시아어 생태계의 특징인 데드 드롭은 서구 DNM의 일반적인 우편 배송과 달리 지역화된 오프라인 배송 네트워크를 기반으로 한 근본적으로 다른 유통 방식이다. 냉전 시대의 정보전술에서 유래한 이 모델은 지역적 운영과 거의 즉각적인 배송을 가능케 함으로써 러시아 및 구소련 지역 불법 마약 시장을 형성해왔다.
데드드롭 모델은 지오캐싱의 한 형태로, 판매자가 불법 약물을 다양한 공공 장소에 숨겨두고 구매자에게 위치를 알려주는 방식으로, 불법 약물 주문을 우편으로 발송하는 대신 이루어진다. 이 모델의 장점 중 하나는 주문과 배송 사이의 시간을 크게 단축시키고, 공급자가 종종 소규모 지역만을 담당하는 초지역적 유통망을 촉진한다는 점이다. 이러한 측면은 러시아어권 다크넷 마켓플레이스에서 발생하는 막대한 수익에 기여해 왔으며, 러시아 및 구소련 지역에서는 이들이 거리 판매를 압도적으로 대체하고 있다.⁵
TRM은 일반적인 우편 배송 시스템과 병행하여 이 배송 방식을 사용하는 서구권 DNM 최소 두 곳을 확인했습니다. 첫 번째는 2025년 여름에 출범한 스칸디나비아 지역 마켓플레이스 무민마켓(MoominMarket)입니다. 무민마켓은 스웨덴, 덴마크, 핀란드의 다양한 판매자들을 유치하며, 해당 지역의 여러 대도시에 걸쳐 데드드롭 서비스를 제공합니다.
두 번째는 러시아-서양 하이브리드 DNM인 '바자르(Bazaar)'로, '브레이킹배드(BreakingBad)'라는 사용자 포럼에서 탄생했다. 바자르는 서양 사용자를 대상으로 하지만, 러시아인 또는 러시아 기반 운영자가 관리할 가능성이 높다. BreakingBad는 서구 시장에서 데드드롭을 확산시키려는 의도로 이를 논의하며, 이러한 특징은 바자르 자체로 이어져 우편 배송과 데드드롭 서비스를 제공합니다. 바자르는 러시아어 채널에 광고를 게재하며 기존 러시아 DNM의 대안으로 제시함으로써 동서 생태계를 연결하려는 이례적인 시도를 하고 있습니다.
서구 마약 유통망에서 비밀 전달 방식으로의 광범위한 전환은 불법 마약 공급망의 이행 단계 내 폭력 발생 가능성 증가를 비롯한 여러 위험을 초래할 것이다. 합법적 우편망을 통해 배송을 위탁하는 우편 배송과 달리, 비밀 전달 방식은 택배사 및 공공 장소에 물품을 배치하는 유통업자("클래드맨")를 포함한 현장 네트워크에 의존한다.
이러한 구조는 노출 , 유출 노출 증가시킵니다. 왜냐하면 은닉 장소("클래드")가 운반책 자신이나 기회주의적인 제3자("갈매기들")에 의해 도난당할 수 있기 때문입니다. 이러한 위험을 완화하기 위해 일부 공급자들은 전담 집행자("운동선수" 또는 "스포츠맨")를 고용하여 전달 지점을 감시하고, 도난 사건을 조사하며, 방해 행위를 하는 것으로 의심되는 개인에게 협박이나 폭력을 행사합니다.
러시아의 현지 상황, 특히 법 집행상의 제약으로 인해 역사적으로 비밀 전달 방식이 더 쉽게 실행되어 왔다. 서방 마약 시장이 비밀 전달 방식을 채택할 경우, 공공장소에 마약이 노출되거나 마약 공급망 내에서 단속 수단으로 폭력이 일상적으로 사용되는 등 유사한 위험이 발생할 수 있다.
{{28-2026-crypto-crime-report-footnote-5}}
사례 연구: 키메라 마켓플레이스, 핵심 시장 외 러시아어 비주류 마켓플레이스(DNM) 확장 보여줘
키메라 마켓플레이스는 2025년 8월 등장했으며, 초기에는 러시아어 DNM(다크네트워크마켓)과 구조적으로 유사해 보였다. 그러나 키메라의 차별점은 러시아 및 구소련 국가 외 지역, 특히 태국(방콕, 푸켓, 파타야 포함)과 인도 일부 지역을 대상으로 한다는 점이다.6 러시아어 DNM은 역사적으로 러시아와 구소련 국가 내에서만 운영되어 왔다. TRM은 키메라가 고아에서 오프라인 마케팅 전략을 활용하는 것을 관찰했는데, 공공장소에 QR 코드 스티커를 부착해 서비스를 홍보하는 방식이었다.
태국과 인도 모두 국내 DNM(다국적 마약 유통망)을 구축하지 않았다. 키메라(Chimera)는 주로 러시아어 사용자를 대상으로 할 가능성이 높지만, 플랫폼 활동이 지역별 배송에 중점을 두고 있어 해당 지역 사용자와 공급업체에 초점을 맞춘 현지화된 도시 기반 마켓플레이스 모델을 채택하고 있다.
키메라(Chimera)는 성숙한 러시아어 DNM 모델을 현지 수요는 존재하지만 현지 시장이 확장되지 않은 지역으로 확장한 사례로 보인다. 이 모델이 다른 지역에서 재현될 경우, 데드드롭(dead-drop)과 같은 러시아식 전술 및 관련 운영 위험의 확산을 포함해 신규 지역에서의 온라인 마약 유통 발전 양상에 영향을 미칠 수 있다.
{{28-2026-crypto-crime-report-footnote-6}}
{{premium-content_chapter-divider}}
자금 세탁
<h3 class="premium-content_subhead">The maturing laundering economy executed settlement at scale</h3>
자금 세탁은 불법 자금이 관할 구역을 가로질러 이동, 층화, 재통합되어 전통적인 금융 시스템으로 다시 유입되도록 합니다. 가상자산 고려할 때, 자금 세탁을 추정하는 한 가지 방법은 불법 지갑에서 유출되는 자금과 그 자금이 유입되는 서비스를 살펴보는 것입니다. 2025년에는 600억 달러 이상의 가치가 불법 지갑을 떠나 다양한 서비스로 유입되었습니다. 최근 몇 년간 거래량의 가장 큰 비중은 가상자산 서비스 제공업체(VASP) 및 기타 서비스 인프라를 통해 이동하며, 이는 불법 행위자들이 중개자에 얼마나 의존하는지를 보여줍니다.
불법 네트워크가 전문화됨에 따라 초기 범죄 이후에도 자금 세탁 라이프사이클의 상당 부분이 가시화되고 있습니다. 활동은 최초 현금화 단계에서 종료되지 않고 서비스 제공자, 결제 계층, 중개 브로커, 반복 거래 상대방을 통해 온체인 상태로 지속되는 경향이 점점 더 강해지고 있습니다. 그 결과 '불법 행위 이후' 단계가 불법 금융 구조에서 더 크고 정량화 가능한 구성 요소로 부상하고 있습니다. 이에 따라 TRM은 온체인에서 하류 지원 계층을 더 많이 식별함으로써 대규모 자금 세탁을 뒷받침하는 인프라를 추적할 수 있게 되었습니다.
에스크로 및 보증 시장: 국경 간 자금 세탁의 결제 기반
에스크로 서비스와 중국어권 '보증' 마켓플레이스는 특히 아시아태평양(APAC) 지역에서 활동하는 중국계 자금세탁 조직들 사이에서 국경 간 자금세탁의 핵심 결제 계층으로 자리 잡았다. 이러한 생태계는 에스크로, 평판 시스템, 분쟁 해결을 통해 신뢰를 강제함으로써 거래상대방 줄여준다. 이는 속도와 신뢰성이 은행에 대한 공식적인 접근보다 더 중요하게 여겨지는 거래 스테이블코인 가치 거래 신속하게 가능하게 한다.
시간이 지남에 따라 이러한 서비스는 틈새 시장 지원자에서 대규모 결제 인프라로 진화하여, 현금 수금 및 구조화가 주로 오프체인에서 이루어지는 경우에도 스테이블코인과 법정화폐 간의 고빈도 교환을 지원하게 되었습니다. 이러한 변화는 중국 자금 세탁 에스크로 서비스로 유입되는 자금의 규모에서 확인할 수 있는데, 총 유입액은 2020년 소규모 기준에서 2025년 1,030억 달러 이상으로 증가하여 2022년 이후 4배 이상 확대되었습니다.
2024년부터 2025년까지 텔레그램 내 중국어 보증 시장은 아시아태평양 사이버 범죄 경제에서 가장 중요한 정산 계층 중 하나로 성장했습니다. 이 시장은 주요 허브에 집중되어 있었으며, Huione Pay(약 730억 달러)가 선두를 달렸고, Haowang(약 73억 달러), Xinbi(약 59억 달러), Tudou(약 30억 달러)가 뒤를 이었습니다. 단속 조치와 플랫폼 중단은 활동을 근절하기보다는 결제 발생 장소를 크게 재편했으며, 이는 근본적인 에스크로 모델의 회복탄력성을 강화했습니다.
시장 발전의 주요 단계는 다음과 같습니다:
- 2025년 5월: 미국 FinCEN(금융범죄단속네트워크) 휴이온 그룹을 제311조에 따라 "주요 자금세탁 우려 대상 외국 금융기관"으로 FinCEN(금융범죄단속네트워크) .
- 곧이어: 텔레그램이 하왕 보증(Haowang Guarantee) 및 신비(Xinbi)와 연관된 채널들을 삭제하며 두 주요 가시적 허브를 차단했다
- 이후 경로 변경이 이어졌다: 공급업체와 자금 흐름이 투도우(Tudou)로 이동했으며, 이는 후이오네(Huione)의 이전 30% 지분 인수로 혜택을 본 결과였다. 유입액은 주당 약 7천만 달러(2025년 5월~11월)로 증가했다.
- 2025년 말: 제311조 규정 최종 확정(2025년 11월 17일 발효) 이후, 2025년 12월까지 휴이온 페이 유입액은 월 약 1억 달러로 급감했으며, 이는 리스크 회피 움직임 강화와 일치한다.
- 신비는 회복력을 보여주었다: 제거 후 동일한 텔레그램 ID로 재등장했으며 일일 유입량이 약 90% 증가한 것으로 보고되었다. 이후 자체 채팅 플랫폼의 미러링된 에스크로 서비스로의 이전을 촉진했다.
이러한 생태계는 대규모 정착을 집중시키고 모니터링 가능한 병목 지점을 생성하기 때문에 여전히 주요 단속 대상이다. 가장 지속적인 신호는 브랜드 기반보다는 행동 기반인 경우가 많으며, 여기에는 중개 허브, 반복적인 거래상대방 , 짧은 보유 기간, 일관된 오프램프 등이 포함된다.
"허브"에서 생태계로
2024년, 보증 시장 플랫폼은 표준화된 인프라로 성숙했으며, 에스크로가 신뢰 메커니즘으로, USDT가 결제 계층으로 자리 잡았다. 2025년, 집행 및 플랫폼 조치로 인해 해당 인프라가 스트레스 테스트를 거쳤고, 시장은 이전과 리브랜딩을 통해 적응했다. 그 결과, 대체 가능한 여러 결제 장소가 병행 운영되는 생태계가 형성되었으며, 이에는 대체된 활동을 흡수할 수 있는 성장 중인 후속 서비스들도 포함된다.
실질적인 교훈은 규제가 시장의 형태를 바꾼다는 점이다. 이는 신뢰를 훼손하고 거래 마찰을 증가시키며 결제 수단 접근성을 저하시키고 분열을 초래할 수 있다. 그러나 수요가 지속되는 한 에스크로 기능은 재등장할 것이다 — 우연이 아닌 설계상 다중 플랫폼에 걸쳐 점차 확대되는 형태로 말이다.
2025년 주요 가상자산 자금 세탁 단속 사례
2025년, 미주와 유럽 전역의 법 집행 기관들은 가상자산 자금 세탁 인프라를 차단하는 능력을 향상시켰음을 입증했다. 2025년 브라질, 캐나다, 스페인, 독일, 유럽 연합(EU) 및 미국에서 발생한 주요 사건들을 살펴보면 일관된 패턴이 나타났습니다: 범죄 행위자들은 여전히 가상자산 의존하지만, 당국이 네트워크를 추적하고 인프라를 규명하며 대규모 압수를 실행할 수 있도록 충분한 온체인, 운영 및 보관 관련 흔적을 남기는 경우가 많았습니다. 블록체인 인텔리전스 이 전통적인 수사 기법과 결합될 때 당국이 네트워크를 매핑하고, 인프라를 귀속시키며, 대규모 압수를 실행할 수 있도록 하는 충분한 온체인, 운영 및 보관
2025년에 이루어진 가장 규모가 크고 효과적인 조치들 중 상당수는 개별 거래가 아닌 인프라를 대상으로 했다.
브라질: 산업 규모 자금 세탁 네트워크 해체
브라질 연방경찰이 주도한 '루소코인 작전'은 유례없는 규모의 자금 세탁 및 외환 회피 구조를 표적으로 삼았다. 당국은 해당 네트워크가 유령 회사, 장외 가상자산 , 비수탁형 지갑으로 구성된 네트워크를 통해 수백억 브라질 헤알을 이동시킨 것으로 추정한다. 이 수익금은 마약 밀매, 밀수, 탈세 및 기타 중범죄와 연관되었으며, 운영진은 해외에서 활동한 것으로 알려졌고 운영 거점은 브라질 여러 도시에 분산되어 있었다.
이번 단속으로 수억 달러 상당의 자산이 동결되었으며, 가상자산 , 은행 계좌, 차량, 부동산 등이 포함되었습니다. 수십 개의 지갑에 분산된 수백만 달러 상당의 USDT를 포함한 스테이블코인은 네트워크 내 주요 운영 자금층을 형성했습니다. 이 사건은 대규모 자금 세탁 조직이 법정화폐, 가상자산, 실물 자산에 걸쳐 보유 자산을 다각화하며, 이를 차단하려면 모든 자산군을 동시에 추적해야 함을 보여줍니다.
한편, 고이아스 주 경찰청이 주도한 '딥 헌트 작전'은 가상자산 과거 전통적인 사이버 사기 및 카드 사기 수법에 어떻게 가상자산 보여준다. 수사관들은 은행 데이터 도난, 복제 카드, 위조 신분증 등을 통해 약 수천만 달러 상당의 자금이 가상자산 통해 세탁된 사실을 입증했다. 당국은 확인된 수익금의 상당 부분을 압수했으며, 이 역시 온체인 및 오프체인 자산을 아우르는 범위에서 이루어졌다.
딥 헌트는 거래소와의 협력과 블록체인 인텔리전스 활용을 공개적으로 강조하며, 블록체인 인텔리전스 거래 그래프를 재구성하고 핵심 인물을 식별하며, 가명 지갑 활동을 실명 용의자와 연결하는 방안을 제시했습니다.
캐나다: 고위험 해외 거래소 제거
캐나다에서는 캐나다 왕립 기마경찰대(RCMP) 가 수년간 등록 없이 의미 있는 규정 준수 통제 없이 운영된 해외 거래소 트레이드오그레(TradeOgre)를 해체했습니다 . 온체인 분석 결과 트레이드오그레는 다크넷 시장, 랜섬웨어, 사기 및 기타 고위험 활동과 연계된 자금의 허브 역할을 하며, 사실상 불법 가상자산 내 자금 집적 및 오프램핑(off-ramping) 지점으로서 기능한 것으로 나타났습니다.
2025년 9월, 캐나다 왕립기마경찰대(RCMP)는 수천만 달러 상당의 가상자산을 보유한 거래소 관리 지갑을 압수하며 캐나다 사상 최대 규모의 가상자산 사례를 기록했다. 이로 인해 범죄자들은 신뢰할 수 있는 거래처를 상실하고 고객 자금이 동결되었으며, 익숙하지 않고 잠재적으로 더 감시되기 쉬운 경로로 강제 이탈하게 되었다.
성공의 핵심은 수사관들이 지갑 클러스터링과 흐름 분석을 시드 문구 재구성과 결합하여 회수된 물리적 증거를 완전한 지갑 이력으로 전환할 수 있게 한 점이었다. 이 접근법은 블록체인 인텔리전스 부분적인 증거물을 포괄적인 금융 기록으로 전환할 블록체인 인텔리전스 있음을 보여준다.
유럽과 미국: 믹서, 스왑,가상자산 표적화
스페인과 유럽 연합(EU): 압박받는가상자산
스페인과 유럽 연합(EU) 전역에서 조율된 작전이 주로 러시아어권 및 아시아 조직범죄 고객을 대상으로 한 지하가상자산 표적으로 삼았다. 해당 서비스는 고객이 대량의 실물 현금을 넘겨주고, 다양한 형태의 은폐를 통해 지갑이나 거래소 계좌로 전달되는 스테이블코인(주로 USDT)을 수령할 수 있도록 했다.
단속 조치로 수십 명이 체포되었으며 현금, 가상자산, 은행 자금 등 3천만 유로 이상이 압수되었다. 당국은 USDT로 수천만 달러를 동결했으며, 이는 당국이 스테이블코인 대해 신속하게 대응할 수 있는 역량이 점차 강화되고 있음을 보여준다.
공개된 정보는 체포 인원과 자산 총액에 집중되었으나, 이 사건은 유럽 전역에서 TRON 기반 스테이블코인에 대한 실시간 모니터링 및 신속 동결 절차와 기존 감시 체계 및 국경 간 협력을 결합한 광범위한 대응 방식과 밀접하게 부합한다.
독일과 유럽 연합(EU): 믹서 해체 및 교환 서비스
크립토믹서 단속으로 최소 2016년부터 수십억 유로 상당의 비트코인을 처리해온 가장 오래된 비트코인 믹싱 서비스 중 하나가 사라졌다. 독일과 스위스 당국은 백엔드 서버를 압수하고 수천만 유로 상당의 가상자산 몰수했다. 더 중요한 것은 로그, 지갑 매핑, 거래 기록 등을 포함한 약 12테라바이트의 내부 데이터를 확보한 것으로, 이는 향후 수년간의 후속 수사에 도움이 될 것으로 예상된다.
독일 당국도 마찬가지로 KYC 자금세탁방지(AML) 고객확인)나 자금세탁방지(AML) 전혀 없다고 명시적으로 광고한 익명의가상자산 서비스인 eXch.cx를 해체했습니다. 해당 서비스는 운영 기간 동안 수십억 달러 규모의 가상자산 처리했으며, 다크넷 시장, 결제 카드 범죄, 대규모 해킹, 아동 성 착취물 관련 노출 . 압수 조치는 이 서비스가 자진 폐쇄를 시도하던 바로 그 시점에 고처리량 자금 세탁 노드를 제거한 효과를 냈다.
미국:가상자산 에 대한 비밀 작전
미국에서 아누라그 프라모드 무라르카가 운영한 다크웹가상자산 대한 사건은 다른 단속 방식을 보여준다. 미국 당국은 초기 체포 후 네트워크를 즉시 폐쇄하지 않고, 대신 장기간 은밀히 서비스를 운영했다. 이를 통해 수사관들은 다크넷 시장, 해킹 커뮤니티 및 기타 범죄 생태계 전반에 걸친 고객 네트워크를 파악할 수 있었으며, 통제된 환경에서 증거를 수집할 수 있었다.
블록체인 분석은 해당 서비스가 단순히 일회성 거래를 중개하는 것이 아니라 여러 범죄 출처의 자금을 모아 혼합했음을 입증하는 데 핵심적인 역할을 수행했다. 온체인 매핑 통신 데이터, 여행 기록, 클라우드 포렌식 기술과 매핑 지갑 클러스터를 실제 신원과 연결했다. 그 결과 장기간의 징역형이 선고되었으며, 현금과 디지털 증거물이 압수되어 향후 추가 수사에 활용될 전망이다.
{{premium-content_chapter-divider}}
테러리즘
<h3 class="premium-content_subhead">ISIS crypto use mirrored broader upward adoption trend, led by Islamic State Khorasan Province (ISKP)</h3>
ISKP는 가상자산 가장 가상자산 ISIS 계열 조직으로 남아 있다. 지난 몇 년간 TRM은 해당 조직이 통제하는 수십 개의 주소를 확인했으며, 총액은 수십만 달러에 달한다. 이 주소들은 거의 전적으로 TRX 기반 USDT로 구성되었으며, 100달러에서 15,000달러 사이의 거래를 수백 건 수행했다. 이 거래들은 규제 대상 거래소, 고위험 거래소, 그리고 일부는 ISKP의 활동을 인지하고 있는 개인 가상자산 통해 이동했습니다. ISKP는 자금을 활용해 기부금을 모금하고, 계열사 간 자금을 이동시키며, 공격을 지원해 왔습니다.
파키스탄과 터키가 공동으로 체포한 오즈구르 알툰은 해당 조직의 재정 및 미디어 기능 핵심 인물로, 그의 체포는 ISKP의 가상자산 상당한 차질을 빚었다. 그의 체포 이후 TRM 데이터는 ISKP 활동이 감소했음을 보여주었으나, 이후 ISKP 지역 계열사들의 역할 확대에 힘입어 다시 회복세를 보였다. ISKP는 운영 보안 강화를 위해 크로스체인 스왑 난독화 및 낮은 수준의 KYC(고객 확인 절차) 서비스를 포함하는 스왑 서비스 사용을 늘렸다.
또 다른 성장 신호로, TRM은 지난 12개월 동안 여러 국가에서 ISKP와 연계된 추가 모금 캠페인 및 미디어 유닛을 다수 확인했으며, 이들 모두 블록체인 상에서 연결되어 있었습니다.
ISIS 계열 조직들은 주로 시리아 내 피난민 상태의 ISIS 구성원 및 그 가족들을 위해 가상자산 요청했다.
시리아 내 난민 캠프에서 진행되는 ISIS 구성원 및 가족을 위한 모금 캠페인은 전 세계 지지자들의 가상자산 지속적으로 부추기고 있다. TRM이 확인한 수십 건의 캠페인이 인도적 측면에 초점을 맞추고 있지만, ISIS 조직은 일부 테러 공격과 연계된 이 캠페인들로부터 이익을 얻고 있다. 지난 12개월간 전 세계적으로, 미국을 포함해 가상자산 관련 유죄 판결의 대부분이 이러한 캠페인과 연관되어 있었다.
TRM은 시리아 내 다른 자금 모금 활동도 관찰했는데, 여기에는 시리아 내 ISIS 전투원들을 위한 모금도 포함된다. 다만 TRM은 ISKP 및 ISWAP을 포함한 ISIS 계열 조직들에 거래 용이하게 하고 있다.
아프리카 ISIS 연계 조직들이 자금 조달 및 무기 구매를 가상자산 이용했다
아프리카에서는 특히 나이지리아와 소말리아에서 ISIS 가상자산 활용이 증가하는 증거가 발견된다. 나이지리아에서는 ISIS 연계 단체들이 무기 및 드론 구매를 포함해 자금 모금 캠페인에 가상자산 . 최근에는 이슬람국가 서아프리카주(ISWAP)와 연계된 미디어 부서가 공개적으로 비트코인 기부를 요청하기 시작했다.
TRM 데이터에 따르면 나이지리아 내 ISIS 활동과 연계된 주소들은 주로 TRX 기반 USDT를 사용하며, 수십만 달러 규모의 거래량이 확인되었습니다. 아프리카 내 ISIS의 주요 금융 허브인 소말리아의 ISIS 계열 조직은 국경을 넘어 자금을 이동하고 활동을 지원하기 가상자산 반복적으로 가상자산 활용해 왔으며, 최근 스웨덴에서 TRM의 지원을 받아 이루어진 유죄 판결이 이를 입증하는 추가 증거를 제공합니다.
이란의 대리 세력들 — 하마스, 헤즈볼라, 후티 반군 — 은 강화된 표적 단속 조치에도 불구하고 가상자산 대한 접근권을 유지했다.
하마스
미국과 이스라엘 당국은 가상자산 하마스의 가상자산 사용을 집중적으로 추적했다.
미국 DOJ(미국 법무부) 3월 하마스 자금 조달 계획과 가상자산 약 20만 달러를 압수했다고 발표했다. 미국 당국에 따르면 압수된 가상자산 하마스 지원을 위해 150만 달러 이상의 거래를 중개한 광범위한 지갑 네트워크와 연관되어 가상자산 .
7월, DOJ(미국 법무부) 가자 지구 기반 금융 중개업체인 바이 캐시 머니 앤 머니 거래 (BuyCash)와 가상자산 약 200만 달러 가상자산 대상으로 한 민사 몰수 소송을 공개했다. 해당 업체는 하마스 및 기타 테러 단체에 물적 지원을 제공한 혐의로 제재를 받은 바 있다. 이번 몰수 가상자산 주요 가상자산 보관된 디지털 자산이 압류되었으며, 이는 미국 정부가 최종 수혜자뿐만 아니라 테러 자금 조달을 가능케 하는 중개업체에도 주목하고 있음을 보여준다. 미국 당국은 이 사건을 가상자산 자금 서비스 업체를 포함해 하마스를 지원하는 금융 인프라를 해체하기 위한 광범위한 전략의 일환으로 규정했다.
이스라엘 국가대테러자금조달방지국(NBCTF) 은 2025년에도 가상자산 단속 활동을 지속했다. NBCTF는 하마스와 연계된 것으로 평가된 수십 개의 지갑을 대상으로 총 3억 5천만 달러 이상의 자금을 대상으로 한 다수의 압수 명령을 발부했다.
후티 반군과 헤즈볼라
후티 반군(일명 안사룰라)은 2025년 미국 테러 및 제재 프로그램에 지정되었음에도 불구하고, 광범위한 제재 회피 및 자금 조달 노력의 가상자산 활용했다. 2025년 OFAC(해외재산관리국) 은 후티 반군과 연계된 8개의 가상자산 주소를 OFAC(해외재산관리국) . TRM Labs의 분석에 따르면, 이 지갑들은 고위험 및 제재 대상 상대방에 대한 송금을 포함해 총 18억 달러 이상의 거래를 처리한 것으로 나타났다.
특히 후티 반군과 연계된 일부 거래는 무인기(UAV), 대무인기 장비 및 기타 군사 관련 물품 획득과 연관된 중개업자에 대한 지급을 포함해 조달 네트워크 지원에 활용되었다. 이 자금 일부는 러시아, 이란 및 헤즈볼라 연계 네트워크와 연결된 중개업자 및 조력자를 통해 이동했으며, 가상자산전통적 금융 시스템 밖에서 이루어지는 국경 간 결제에서 수행하는 역할을 부각시킨다.
{{premium-content_chapter-divider}}
결론
불법 가상자산 2025년 사상 최고 수준을 기록했으나, 더 넓은 맥락에서는 미묘한 차이가 드러난다. 채택이 확대됨에 따라 불법 활동은 이제 더 크고 성숙한 생태계 내에서 운영된다. 불법 행위자들은 가상자산 유입되는 자본에서 차지하는 비중이 이전 연도보다 줄어들었으며, 이는 상대적 위험이 감소하는 추세를 보여준다.
올해는 주로 개선된 어트리뷰션 대규모 사건의 집중에 의해 주도되었으며, 특히 A7A5 및 기타 러시아 연계 단체들이 대량의 제재 대상 행위자로 부상한 점이 두드러졌다. 이러한 자금 흐름은 단순한 회피를 넘어, 전통적 인프라에 대한 지속 가능한 대안을 모색하는 국가 연계 행위자들이 가상자산 제도화하고 있음을 시사한다. 즉, 합법 경제와 병행하여 운영되는 그림자 경제를 구축하기 위한 도구 가상자산
TRM의 업데이트된 방법론은 유동성 기반 지표와 하한 분모를 포함하여 이러한 변화를 반영합니다. 이는 불법 행위자들이 가상자산 어떻게 상호작용하는지 고려할 수 있는 현실적인 관점을 제공하며, 경제적 영향을 측정하기 위한 보다 명확한 기준을 제시합니다. 탐지 능력은 향상되었으나, 관련 네트워크의 규모와 야심은 부문 간 협력, 정밀한 어트리뷰션, 가상자산 집행 도구에 대한 지속적인 투자의 필요성을 강조합니다.
가상자산 더 이상 새로운 개념이 가상자산 — 위협 행위자들에게나, 그들에 맞서 싸워야 하는 기관 및 개인들에게도 마찬가지다.
{{premium-content_chapter-divider}}
정보 TRM Labs
TRM Labs 법 집행 기관 및 국가 안보 기관, 금융 기관, 가상자산 가상자산 사기 및 금융 범죄를 탐지, 수사, 차단할 수 있도록 블록체인 분석 제공합니다. TRM의 블록체인 인텔리전스 자금의 출처와 목적지를 추적하고, 불법 활동을 식별하며, 사건을 구축하고, 위협에 대한 운영 상황을 파악하는 솔루션을 포함합니다. TRM은 더 안전하고 보안이 강화된 가상자산 구축하기 위해 TRM을 신뢰하는 전 세계 주요 기관 및 기업들의 신뢰를 받고 있습니다.
TRM은 캘리포니아주 샌프란시스코에 본사를 두고 있으며 엔지니어링, 제품, 영업 및 데이터 과학 분야에서 채용을 진행하고 있습니다. 자세한 내용은 www.trmlabs.com 에서 확인하세요 .
.svg)
.png)
