당국, ‘AudiA6’ 랜섬웨어 암호화폐 세탁 서비스 해체
법 집행 기관은 랜섬웨어 공격자와 기타 사이버 범죄자들이 3억 8천만 달러 이상을 세탁하는 데 사용한 것으로 추정되는 “AudiA6” 암호화폐 서비스를 해체했습니다.
Europol은 이 서비스가 15건 이상의 국제 랜섬웨어 공격 수사와 연관돼 있다고 밝혔습니다.
이 플랫폼은 2022년부터 2025년까지 중앙 세탁 허브 역할을 한 것으로 추정됩니다.
“수사관들은 수천 개의 사기성 거래소 계정이 도난당하거나 구매된 신원을 이용해 개설된 산업 규모의 암호화폐 세탁 작전을 밝혀냈다”고 Europol이 설명합니다.
“Europol이 수행한 분석은 이 범죄 서비스를 전 세계 15건 이상의 랜섬웨어 공격 및 대규모 암호화폐 절도 사건과 연결시켰다.”
이 서비스는 “전문 암호화폐 믹싱 서비스”로 마케팅됐지만, 실제로는 사이버 범죄 수익을 받아 복잡한 거래 경로를 통해 자금의 출처를 숨기고, 약 1시간 내에 3~10%의 서비스 수수료를 제하고 ‘청정’ 상태로 반환하는 역할만 수행했습니다.
Intel471과 블록체인 조사관 ZachXBT의 과거 보고서는 AudiA6가 불법 활동을 촉진한다는 점을 폭로했습니다.
이번 수사에는 유럽, 미국, 아시아 11개국의 당국이 참여했으며, Europol과 Eurojust의 지원을 받았습니다.
Europol은 이번 작전이 2025년 9월 폴란드에서 체포된 우크라이나 국적 용의자와의 연관성 덕분에 가능했다고 밝혔습니다.
용의자의 기기 포렌식 검증을 통해 수사관들은 작전의 핵심 인물을 식별하고 결국 그들을 조지아에서 체포할 수 있었습니다.
어제 진행된 작전의 결과, 당국은 다음과 같은 조치를 취했습니다:
- 조지아에서 2명 체포
- 3곳의 부동산 수색
- 25개 도메인 압류
- 80대 차량 및 부동산 압류
- 암호화폐 €86,000(약 $99k) 압류
- 암호화폐 €692,000(약 $798k) 동결
- 네트워크가 사용하던 텔레그램 계정 차단
체포된 두 명(우크라이나인과 러시아인)은 AudiA6와 사이버 범죄자들이 불법 서비스를 광고하던 underground 포럼 “Dark2Web”의 관리자라고 추정됩니다.
AudiA6와 Dark2Web 웹사이트는 현재 방문자에게 압류 공지를 표시하고 있습니다.
압류 배너
출처: Europol
미국 법무부는 37세 러슬란 이고레비치 트카추크와 25세 알렉산더 블라디미로비치 레데네프를 AudiA6 플랫폼의 고위 멤버로 지목했습니다.
두 사람은 현재 조지아 당국의 구금 상태이며, 사이버 범죄 세탁 작전을 돕는 혐의로 최대 20년 징역형을 받을 수 있습니다.
“예치된 약 10,333 비트코인 중 약 393.39 BTC(거래 시점 약 $19,234,331 가치)는 알려진 다크넷 마켓, 랜섬웨어 조직, 사이버 범죄 서비스 및 기타 불법 출처에서 직접 입금된 반면, 추가 자금은 불법 출처에서 간접적으로 AudiA6 지갑으로 입금되었습니다.”라고 법무부는 밝혔습니다.
두 관리자 외에도 당국은 머니 뮬 계정과 연결된 6,000건의 ‘고객 알기(KYC)’ 기록을 회수했습니다.
Europol에 따르면 이 계정들은 도난당하거나 구매된 신원을 사용해 생성됐으며, 다수는 이 목적을 위해 특별히 모집된 러시아어 사용 중개인과 연결돼 있습니다.
이 거대한 머니 뮬 네트워크는 여러 도메인을 이용해 암호화폐 거래소에 계정을 등록했으며, Europol은 이를 알리고 플랫폼이 차단할 수 있도록 공개했습니다.
보안 팀은 성공적인 공격의 54%를 기록하지만 실제 경보는 14%에 불과합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지를 피하지 못하도록 하는지 보여줍니다.