캐나다의 해커 카메론 레드먼이 2020년에 발생한 대규모 비트코인(BTC) 및 비트코인캐시(BCH) 탈취 사건으로 유죄 판결을 받았다. 그는 법원에서 징역 1년 1일과 3년의 보호관찰, 그리고 약 308,257달러(약 4억 2,839만 원)의 벌금 및 배상금을 선고받았다. 사건에서 피해자는 총 1,547 BTC와 6만 BCH를 도난당했으며, 이는 당시 시세로 약 3,700만 달러(약 514억 3,000만 원)에 해당된다.
이 사건은 블록체인 분석가 잭엑스비티(ZachXBT)의 수사로 밝혀졌다. 레드먼은 유명 암호화폐 투자자 조시 존스(Josh Jones)의 휴대전화 번호를 SIM 스와핑 방식으로 탈취하고, 2단계 인증을 무력화하여 암호화폐 지갑에 무단으로 접근했다. 이후 그는 수백 건의 소액 거래를 통해 탈취한 자산을 세탁하였고, 이 과정은 중앙 집중형 거래소와 연결되었다.
도난 사건 이후 레드먼은 여러 피싱 조직 및 SNS 해킹에도 연루된 것으로 드러났다. 특히 2022년에는 X 플랫폼의 내부 관리자 패널에 대한 접근 권한을 피싱 사이트 SWAPD에서 250 이더리움(ETH)에 판매한 혐의도 받고 있다. 이로 인해 유명 NFT 프로젝트인 디케이(DeeKay), 비플(Beeple), 제네카(Zeneca)의 계정이 해킹당했으며, 사상 최대 수십억 원 상당의 자산이 추가로 도난당했다.
수사 결과, 레드먼은 SWAPD에 가입하면서 위조된 신분증을 사용하였고, 이후 실제 정보를 제출하여 자금을 인출한 사실이 확인되었다. 그는 자금을 믹싱 서비스인 토네이도 캐시(Tornado Cash)를 통해 은닉한 후, 스테이크(Stake) 계좌로 입금하였다. 이 지갑은 해킹된 계정들과 명확한 연관성을 가지고 있는 것으로 파악되었다.
캐나다 해밀턴 경찰은 2021년 11월 17일 레드먼을 체포하였으며, 당시 그는 미성년자였기 때문에 신원과 사진이 공개되지 않았다. 그러나 잭엑스비티는 익명 보호 조치가 범죄 재발 방지에 효과적이지 않다고 주장하며, 더욱 강력한 규제와 제도 개선이 필요하다고 언급했다.
이번 사건은 전 세계에서 증가하는 SIM 스와핑 및 피싱 범죄의 심각성을 다시금 일깨워 주고 있다. 보안 기업 킵넷랩스(Keepnet Labs)는 2024년 영국 내 SIM 스와핑 범죄가 1,055% 증가했다고 발표했으며, 블록체인 분석업체 엘립틱(Elliptic) 또한 북한의 해킹 그룹인 라자루스(Lazarus)와 같은 범죄 조직이 인공지능을 통해 피싱 공격을 자동화하고 있다고 경고했다.
잭엑스비티는 지난 해 11월과 12월 사이 한 해커가 15개 이상의 X 계정을 해킹해 50만 달러(약 6억 9,500만 원) 이상의 자산을 탈취한 사례도 밝혀내었다. 이처럼 레드먼의 사건은 SNS 플랫폼, 거래소, 그리고 블록체인 생태계 전반에 걸쳐 디지털 신원 보호 및 보안 체계를 정비해야 할 필요성을 강조하고 있다.
