온체인 분석은 공개된 블록체인 데이터로부터 실제 신원, 의도, 위험을 추론하는 분야입니다. 여러분이 지금까지 서명한 모든 거래는 누구나 영원히 읽을 수 있는 원장에 남아 있습니다. 이를 숨길 수 있는 관리자도 없고, 만료일도 없으며, 프라이버시 설정도 없습니다. 전문 기업들과, 점점 더 노트북 한 대를 가진 취미 연구자들까지도 이 원시 기록을 명명된 주체, 행동 프로파일, 위험 점수로 바꾸는 일로 생계를 꾸리고 있습니다.
대형 거래소로 또는 그로부터 암호화폐를 보내본 적이 있거나, 프리랜서에게 비용을 지불했거나, NFT를 민팅했거나, 크리에이터에게 팁을 보낸 적이 있다면, 여러분은 이미 온체인 발자국을 가지고 있습니다. 분석가들이 볼 수 있는 것과 볼 수 없는 것을 이해하는 것이, 이를 얼마나 신경 쓸지 그리고 무엇을 할지 결정하는 첫걸음입니다.
온체인 분석이 실제로 하는 일
작업은 서로 위에 쌓이는 세 가지 핵심 작업으로 나뉩니다.
1. 주소 클러스터링. 블록체인은 개별 주소를 노출하지만, 보통 한 사람이나 기업은 여러 주소를 통제합니다. 분석가들은 휴리스틱 — 증거는 아니지만 통계적으로 신뢰할 수 있는 패턴 — 을 사용해 이 주소들을 클러스터로 묶습니다. Bitcoin에서 고전적인 예는 공통 입력 소유 휴리스틱입니다. 하나의 거래가 한 서명으로 여러 입력을 사용하면, 그 입력들은 거의 확실히 같은 지갑에 속합니다. 거스름 주소 탐지 — 어느 출력이 송신자에게 돌아가는 잔액인지를 알아내는 것 — 도 또 다른 예입니다. 함께 사용하면 수천 개의 원시 주소를 훨씬 작은 주체 그래프로 압축할 수 있습니다.
2. 주체 라벨링. 누군가 이름을 붙이기 전까지 클러스터는 그저 주소 덩어리일 뿐입니다. 라벨은 외부 증거에서 옵니다. 거래소 가입 과정에서 스크래핑한 입금 주소, 법원 서류에 공개된 주소, OFAC와 같은 제재 명단, 피해자가 공개한 해커 지갑, 그리고 사람들이 Twitter나 Etherscan에 직접 올리는 주소들입니다. 클러스터 안의 한 주소에 라벨이 붙으면 그 라벨은 클러스터 전체로 전파됩니다.
3. 흐름 분석. 클러스터에 라벨이 붙으면, 분석가들은 자금을 여러 홉에 걸쳐 추적할 수 있습니다. 누가 누구에게, 얼마를, 언제, 어떤 중개자 — mixer, 브리지, 거래소를 포함해 — 를 통해 보냈는지를 말입니다.
누가 온체인 분석을 하는가
상업 영역은 소수의 기업이 지배하고 있으며, 긴 꼬리를 형성하는 독립 연구자들이 빈틈을 메우고 있습니다.
- Chainalysis (
chainalysis.com)는 가장 오래되고 가장 잘 알려진 곳입니다. 거래소에는 컴플라이언스 도구를, 미국 사법기관에는 수사 도구를 판매하며, 널리 인용되는 연례 Crypto Crime Report를 발간합니다. - Elliptic (
elliptic.co)은 영국에 본사를 두고 있으며, 은행, 거래소, 정부 기관을 위한 금융 범죄 컴플라이언스에 집중합니다. - TRM Labs (
trmlabs.com)는 유사한 영역에서 활동하며, 크로스체인 위험 평가에 중점을 둡니다. - Arkham (
arkm.com)은 보다 일반 사용자 지향적입니다. 주체 라벨이 붙은 무료 익스플로러를 제공하고, 사용자가 특정 주소의 비익명화에 현상금을 걸 수 있는 공개 *Intel Exchange*를 운영합니다. - Nansen (
nansen.ai)은 DeFi와 NFT 지갑 — "스마트 머니", 펀드, 마켓 메이커 — 라벨링에 집중하며, 수사관보다는 트레이더를 위한 서비스입니다.
이 기업들을 언급하는 것은 추천도 비판도 아닙니다. 이들은 단지 오늘날 기술적·상업적으로 무엇이 가능한지를 정의합니다. 이들을 넘어, 개인 연구자들 — 가장 눈에 띄는 인물은 ZachXBT입니다 — 도 무료 도구만으로 정기적으로 조사를 발표합니다. 이 능력은 더 이상 희귀하지 않습니다.
가명성은 익명성이 아니다
이것이 신참자들이 가장 자주 놓치는 지점입니다. Bitcoin, Ethereum, 그리고 대다수 다른 체인은 가명성을 띱니다. 여러분의 실명은 온체인에 기록되지 않지만, 여러분 활동의 영구적이고 공개적이며 기계 판독 가능한 기록은 기록됩니다. 익명성이란 분석가가 활동을 사람에게 연결할 수 없다는 뜻입니다. 가명성은 단지 그들이 아직 연결하지 못했다는 뜻일 뿐입니다.
연결은 거의 암호학적으로 이루어지지 않습니다. 보통은 평범한 방식입니다.
- 중앙화 거래소에서의 KYC 절차가 입출금 주소 클러스터를 여러분의 여권과 연결합니다.
- 나중에 수사 당국과 협조하게 되는 P2P 트레이더를 통한 한 번의 오프램프.
- 트윗, 포럼 자기소개, 모금 페이지, 또는 ENS 이름에 게시된 지갑 주소.
- 신상이 공개된 가명과 연결된 지갑에서 발생한 NFT 민팅.
- dust 공격 — 누군가가 여러분에게 아주 적은 금액을 보내, 만약 여러분이 다른 코인과 함께 그것을 쓰게 되면, 함께 묶이는 지문이 남는 것.
여러분 클러스터의 어떤 단일 주소라도 한 번 식별되면, 그 주소가 닿은 과거의 모든 거래와 앞으로 닿을 모든 거래가 그 신원을 물려받습니다. "기록 삭제" 버튼은 없고, 앞으로도 없을 것입니다. 그럴듯한 부인의 여지는 여러분이 서명하는 모든 거래마다 줄어듭니다.
일반 사용자가 할 수 있는 일
여러분의 코인이 온체인에 올라간 이상 온체인 분석에서 빠져나갈 수는 없지만, 몇 가지 습관으로 공격 표면을 줄일 수는 있습니다.
- 관련 없는 관계에는 새로운 수신 주소를 사용하세요. SSP를 포함한 대부분의 현대 지갑은 의도적으로 매번 새로운 수신 주소를 생성합니다 — 기본값을 받아들이고, 같은 주소를 반복해서 나눠주지 마세요. 이는 들어오는 결제에 가장 유용합니다. 지출은 여전히 더 넓은 UTXO 집합에서 끌어와 클러스터를 다시 연결할 수 있지만, 작은 노력 하나하나가 신호를 줄입니다.
- dust를 경계하세요. 모르는 지갑이 여러분에게 소수점 단위의 satoshi나 가치 없는 토큰을 보낸다면, 실제 잔액과 통합하지 마세요. 많은 지갑이 의심스러운 dust를 자동으로 표시합니다. 그대로 두세요.
- 실제로 사용하는 주소를 공개하지 마세요. "bc1q…로 팁을 보내주세요"라고 트윗하면 공개된 신원이 클러스터에 영원히 연결됩니다. 민감한 어떤 것에도 절대 재사용하지 않는 전용 주소를 사용하세요.
- KYC 플랫폼을 신원 앵커로 취급하세요. 여러분 이름으로 거래소에 들어가거나 나오는 모든 것은 잠재적으로 귀속 가능합니다. 그에 맞게 계획하세요.
- 프라이버시 도구는 눈을 뜬 채로 접근하세요. Coinjoin 서비스, 프라이버시 중심 체인, mixer는 모두 자체적인 규제, 거래상대방, 기술적 위험을 안고 있습니다. 이 글은 어떤 방향으로도 추천이 아닙니다 — 단지 "프라이버시"가 사후에 덧붙일 수 있는 무료 기능이 아니라는 점을 상기시키는 것뿐입니다.
다음 단계
온체인 분석은 범죄자를 잡는 이야기도, 빅브라더 이야기도 아닙니다 — 그저 영구적이고 공개적인 원장을 운영하는 데 따르는 자연스러운 결과일 뿐입니다. 여러분의 지갑 기록을 기본적으로 공개라고 여기기 시작할수록, 어떤 주소를 재사용할지, 어떤 플랫폼을 신뢰할지, 얼마나 공유할지에 대한 결정이 더 나아질 것입니다.
기본기를 계속 다듬고 싶다면, 함께 읽을 만한 두 글이 있습니다.
- 시드 문구 모범 사례 — 시드가 유출되면 세상에서 가장 깨끗한 온체인 발자국도 여러분을 구하지 못합니다.
- 2-of-2 멀티시그란? — SSP의 위협 모델과, 두 개의 독립적인 키가 여러분의 활동을 단일하게 침해된 기기에 연결하려는 어떤 분석가에게도 문턱을 높이는 이유.