토네이도 캐시: 크립토 믹서와 그 제재 사태
2022년 이전에는 결코 없었던 일이 벌어졌습니다. 정부가 승인한 소프트웨어라니! 회사도 아니고, 사람도 아닌, 코드 말입니다. 그 코드는 이더리움 기반의 개인정보 보호 도구인 토네이도 캐시(Tornado Cash)였는데, 여기서 반전이 있어 더욱 주목할 만합니다. 3년이 지난 지금도 그 코드는 여전히 작동하고 있습니다. 제재는 해제되었고, 오히려 개발자들이 법정에 서게 되었습니다.
이 이야기는 사실 암호화폐 믹서에 관한 이야기가 아닙니다. 수학을 불법화할 수 있는지, 그리고 도구를 만든 사람이 다른 사람들이 그것을 어떻게 사용하는지에 대해 책임을 져야 하는지에 대한 이야기입니다. 이어지는 내용은 토네이도 캐시가 무엇인지, 어떻게 작동하는지, 그리고 이 모든 사태가 어떻게 전개되었는지에 대한 것입니다. 사용법은 나와 있지 않습니다. 그저 개요만 보여드리겠습니다.
토네이도 캐시는 무엇이며 누가 만들었습니까?
그렇다면 토네이도 캐시는 도대체 무엇일까요? 회사가 아닙니다. 소유주도 없고, 사무실도, 고객 지원 센터도, 소환할 고객 기록이 가득한 서버도 없습니다. 토네이도 캐시는 코드입니다. 2019년에 이더리움 네트워크에 배포된 몇 개의 스마트 계약으로 , 누구나 사용할 수 있고 누구도 회수할 수 없습니다. 바로 이러한 설계 방식 때문에 법원이 나중에 골머리를 앓게 된 것입니다.
토네이도 캐시가 해결하고자 했던 문제는 바로 이것입니다. 이더리움에서는 모든 것이 공개되어 있습니다. 이더리움으로 월세를 내면 집주인은 당신의 급여, 저축, 그리고 당신이 지금까지 거래한 모든 코인을 볼 수 있게 됩니다. 이것이 블록체인의 기본 설정입니다. 토네이도 캐시는 코인 믹서 역할을 합니다. 입금하는 지갑과 출금하는 지갑 사이의 블록체인 상에서 거래 기록을 끊어줌으로써, 블록체인이 결코 제공하지 못했던 금융 프라이버시를 어느 정도 되살려줍니다.
세 명의 개발자, 로만 스톰, 로만 세메노프, 그리고 알렉세이 페르체프는 2019년 12월 17일에 TORN을 출시했습니다. 그들은 TORN 거버넌스 토큰과 DAO를 추가하여 특정 관리자가 아닌 커뮤니티가 운영하도록 했습니다. 그리고 나서 모든 법적 분쟁의 발단이 된 사건이 발생했습니다. 그들은 운영권을 포기했습니다. 이 세 사람의 이름을 기억해 두세요. 법정 공방은 코드뿐만 아니라 사람들과도 밀접한 관련이 있기 때문입니다.
토네이도 캐시의 작동 방식은 다음과 같습니다.
이게 실제로 어떻게 뭔가를 숨길 수 있을까요? 중간 매개체가 아니라 수학을 통해서입니다. 운영 세부 사항은 제외하고 개략적인 설명만 드리겠습니다.
예치금, 풀, 그리고 익명성 세트
사용자는 일정량의 이더리움(ETH) 또는 토큰을 공유 스마트 계약인 풀에 예치합니다. 예치 금액은 0.1, 1, 10, 100 ETH와 같은 정수 단위로 표준화되어 있어, 풀 내 모든 예치금이 동일하게 보이도록 설계되었습니다. 모든 사용자의 예치금은 한곳에 모입니다. 동일한 풀을 사용한 사용자가 많을수록 "익명성 집합"이 커지므로, 한 번의 출금이 이전에 예치된 여러 금액 중 하나와 연결될 가능성이 높아집니다. 여기서 프라이버시는 집단 효과에 기반합니다. 즉, 동일한 풀을 사용한 다른 사용자들과 섞여 익명성을 확보할 수 있습니다. 거의 비어 있는 풀은 프라이버시를 거의 보장하지 않기 때문에, 참여 사용자 수가 많을수록 프라이버시가 더욱 중요해집니다.
영지식 증명 및 인출
출금하려면 입금 사실만 증명하면 되는데, 어떤 입금이 본인 것인지는 밝히지 않아도 됩니다. 그 비결은 영지식 증명, 특히 zk-SNARK라는 기법입니다. 이 기법을 사용하면 어떤 명제가 참이라는 것만 증명하고 다른 정보는 전혀 공개하지 않을 수 있습니다. 출금된 금액은 완전히 새로운 지갑으로 입금될 수도 있습니다. 또한, 가스 수수료가 발생하여 두 주소가 자동으로 연결되는 것을 막기 위해 릴레이어라는 대행 기관이 수수료를 대신 지불해 줍니다. 이 모든 과정은 운영자가 보증하는 것이 아니라 암호화 기술 자체가 보증하는 것입니다.
변경 불가능하고 비보관형
2020년 5월, 개발자들은 "신뢰 설정 의식"을 거행하고 관리자 키를 소각했습니다. 그 시점부터 누구도 핵심 계약을 일시 중지하거나 변경, 삭제할 수 없게 되었습니다. 규제 기관도, 심지어 설립자들조차도 불가능했습니다. 웹사이트는 분산형 파일 호스팅 서비스인 IPFS에 구축되어 있어 도메인을 삭제하더라도 접속이 차단되지 않았습니다. 모든 것이 개발자보다 오래 지속되도록 설계된 것입니다. 실제로 이 시스템은 활발하게 사용되었습니다. 체이나리시스(Chainalysis)에 따르면 2019년부터 2022년 제재 조치 시행 전까지 76억 달러 이상의 이더리움이 이 시스템을 통해 거래되었으며, 그중 약 30%가 불법적인 행위자들과 관련되어 있습니다.
| 토네이도 캐시 개요 | 세부 사항 |
|---|---|
| 출시됨 | 2019년 12월 17일 |
| 창립자들 | 로만 스톰, 로만 세메노프, 알렉세이 페르체프 |
| 회로망 | 이더리움(및 폴리곤을 포함한 기타 블록체인) |
| 토큰 | TORN(거버넌스, DAO) |
| 유형 | 비수탁형, 불변 스마트 계약 믹서 |
| 상태 | OFAC 제재 대상국 지정(2022년), 제재 해제(2025년 3월) |
토네이도 캐시 제재: OFAC 법적 공방
이 부분이 바로 역사적인 순간입니다. 미국 정부는 해당 소프트웨어를 승인했지만, 연방 법원은 이를 허용할 수 없다고 판결했고, 검찰은 그럼에도 불구하고 그 소프트웨어를 만든 사람들을 기소했습니다. 이 세 가지 사실이 동시에 발생했기 때문에 사건이 매우 복잡하게 얽혀 있는 것입니다.
OFAC가 2022년에 토네이도 캐시에 제재를 가한 이유는 무엇일까요?
미국 재무부 해외자산통제국(OFAC)은 2022년 8월 8일 토네이도 캐시(Tornado Cash)를 제재 대상 목록에 올렸습니다. 오픈 소스 코드에 대해 이러한 조치가 취해진 것은 전례 없는 일이었습니다. 재무부는 해당 프로토콜이 2019년 이후 70억 달러 이상의 암호화폐를 거래했으며, 여기에는 북한의 국가 해킹 조직인 라자루스 그룹(Lazarus Group)이 로닌 다리(Ronin Bridge) 테러 사건에서 탈취한 4억 5500만 달러 이상이 포함되어 있다는 점을 지적했습니다. 이에 대한 반응은 즉각적이었습니다. 웹사이트와 깃허브(GitHub) 저장소는 폐쇄되었고, 서클(Circle)은 제재 대상 주소에 보관되어 있던 약 7만 5천 달러 상당의 USDC를 동결했습니다.
그러다 상황이 이상해지기 시작했습니다. 누구나 프로토콜을 통해 어떤 지갑으로든 자금을 이체할 수 있기 때문에, 한 장난꾸러기가 유명인들에게 소액의 토네이도 캐시를 입금하는 짓을 벌였습니다. 갑자기 그 사람들은 본인의 의지와 상관없이 제재 대상 주소에 접근한 셈이 되었습니다. 스마트 계약 자체에는 법적 조치를 취할 수 없습니다. 기존의 제재 방식은 아무도 통제하지 않는 도구에는 적용되지 않았습니다.
체포와 재판
토네이도 캐시 개발자들에 대한 형사 소송은 두 나라에서 진행되었습니다. 네덜란드가 먼저 움직였습니다. 네덜란드 검찰은 제재 발표 며칠 후 알렉세이 페르체프를 체포했고, 2024년 5월 법원은 그에게 약 12억 달러 규모의 거래와 관련된 자금 세탁 혐의로 유죄를 선고하고 64개월 형을 내렸습니다. 미국은 뉴욕 남부 지방 법원에서 로만 스톰을 상대로 자금 세탁 공모, 제재 위반, 무허가 송금업 운영 혐의로 기소했습니다.
스톰의 변호는 간단했습니다. 그는 소프트웨어를 개발했을 뿐, 누구의 자금도 관리한 적이 없으며, 오픈 소스 코드의 저작권자는 타인이 코드를 어떻게 사용하는지에 대해 책임을 질 필요가 없다는 것이었습니다. 검찰은 정반대의 입장을 취했습니다. 검찰은 스톰이 해당 도구를 통해 이익을 얻었고, 범죄 자금을 세탁하는 데 사용될 수 있다는 사실을 알면서도 계속해서 도구를 개선했다고 주장했습니다. 배심원단은 의견이 엇갈렸습니다. 2025년 8월, 배심원단은 스톰 에게 무허가 자금 이체 혐의에 대해서는 유죄를 선고했고, 나머지 두 혐의에 대해서는 평결에 이르지 못했습니다. 법무부는 재심을 요구하고 있으며, 재심은 2026년 10월로 예정되어 있습니다. 세 번째 공동 설립자인 로만 세메노프는 여전히 도피 중입니다.
제재가 어떻게 철회되었는가
한편, 별도의 민사 소송에서는 제재 조치를 직접적으로 겨냥했고, 이는 효과를 거두었습니다. 밴 룬 대 재무부 사건에서, 제5순회 항소법원은 2024년 11월 26일 OFAC(미국 재무부 해외자산통제국)가 월권 행위를 했다고 판결했습니다 . 그 이유는 거의 철학적이었습니다. 변경 불가능한 스마트 계약은 누구의 소유물도 아닌 "재산"이므로, 재무부가 제재법에 따라 제재를 가할 수 있는 범위에서 벗어난다는 것이었습니다. OFAC는 이 점을 인지하고 2025년 3월 21일 토네이도 캐시 프로토콜과 100개 이상의 주소를 제재 대상에서 제외했습니다 .
| 날짜 | 이벤트 |
|---|---|
| 2019년 12월 17일 | 토네이도 캐시가 이더리움 플랫폼에서 출시되었습니다. |
| 2022년 8월 8일 | OFAC는 해당 프로토콜을 승인합니다. |
| 2024년 5월 | 알렉세이 페르체프, 네덜란드에서 유죄 판결 받아 |
| 2024년 11월 26일 | 제5순회항소법원은 해당 제재가 불법이라고 판결했습니다. |
| 2025년 3월 21일 | OFAC, 토네이도 캐시 상장 폐지 |
| 2025년 8월 | 뉴욕에서 로만 스톰 사건에 대한 의견이 엇갈렸습니다. |
토네이도 캐시 제재가 논란이 된 이유는 무엇인가?
이 논쟁은 애초에 특정 도구 하나에 관한 것이 아니었습니다. 정부가 소프트웨어에 제재를 가하고 개발자를 투옥할 수 있는지 여부에 관한 것이었습니다. 제재는 은행, 마약 카르텔, 개인처럼 소환장을 송달할 수 있는 대상을 위해 고안된 것이었습니다. 하지만 토네이도 캐시는 그런 대상이 아니었습니다. 협상할 상대도 없고, 작동을 멈출 수 있는 장치도 없었기에, 제재는 사실상 일반 미국인들에게 코드 조각을 만지는 것만으로도 처벌받을 수 있다는 메시지를 전달하는 것과 마찬가지였습니다.
이는 진정한 원칙 충돌을 불러일으켰습니다. 한쪽에서는 코인 센터(Coin Center)와 EFF(Electronic Frontier Foundation) 같은 금융 프라이버시 옹호 단체들이 개인 정보 보호는 정당한 필요이며, 코드 공개는 표현의 자유에 해당하고, 개발자 처벌은 모든 오픈 소스 개발을 위축시킨다고 주장했습니다. 프라이버시 도구를 배포하는 것이 감옥행으로 이어질 수 있다면, 그러한 도구를 만드는 사람은 훨씬 줄어들 것이라는 논리였습니다. 반면, 재무부와 검찰은 수억 달러에 달하는 자금 유출, 그중 상당 부분이 적대국의 무기 개발 프로그램으로 흘러들어간 것과 같은 실질적인 피해를 지적했습니다. 어느 쪽도 완전히 틀린 것은 아니었습니다. 많은 정직한 사용자들이 프라이버시를 원했고, 많은 범죄자들이 같은 익명성을 이용해 숨어들었습니다. 바로 이러한 중복 때문에 사건을 명확하게 해결하기가 어려웠고, 합리적인 사람들이 서로 다른 입장에 서게 된 것입니다.
토네이도 캐시는 합법적인가요? 아니면 지금 이용 가능한가요?
솔직하고 현재적인 답변은 다음과 같습니다. 프로토콜 자체는 더 이상 제재 대상이 아닙니다. 2025년 3월 상장 폐지로 인해 미국인이 토네이도 캐시를 이용하는 것 자체는 제재 위반이 아닙니다. 변경 불가능한 스마트 계약은 여전히 이더리움 네트워크에서 실행 중이며, 이는 흔히 제기되는 질문에 대한 직접적인 답변입니다. 토네이도 캐시는 단순히 종료할 수 없습니다. 강제로 종료시킬 수 있는 스위치도 없고, 운영자도 없기 때문입니다.
그렇다고 해서 면죄부가 되는 것은 아닙니다. 장물 자금 세탁이나 제재 대상과의 거래에 어떤 도구를 사용하든, 상장 폐지 여부와 관계없이 불법입니다. 은행과 거래소는 믹서를 거친 자금을 여전히 고위험 자금으로 간주하기 때문에, 프로토콜 자체는 합법적이라 하더라도 출금을 시도할 때 문제가 발생하거나 자금이 동결될 수 있습니다. 또한 2026년 10월경으로 예상되는 로만 스톰 재심은 개발자 책임 문제에 대한 논쟁을 여전히 뜨겁게 이어가고 있습니다.
사용량 자체가 모든 것을 말해줍니다. 아래 수치는 제재 기간 동안 사용량이 감소했다가 제재 해제 후 회복된 프로토콜을 보여줍니다.
| 토네이도 캐시 사용 | 수치 |
|---|---|
| 2019년부터 2022년까지의 총 ETH 믹싱량 | 76억 달러 이상 (체인얼리시스) |
| 2025년 처리량 | 약 25억 달러 |
| 총 예치금액(2025년 11월 기준) | 약 15억 달러(역대 최고 기록) |
| 총 잠금 가치, 중간-2026 | 약 4억 6천만 달러 (DeFiLlama) |
해당 코드는 제재에도 불구하고 분명히 살아남았고, 사용도 다시 활성화되었습니다.
토네이도 캐시가 암호화폐 개인정보 보호에 미치는 영향은 무엇일까요?
스톰 사건의 향방과 관계없이, 이번 판결은 이미 분명한 경계를 그었습니다. 제5순회항소법원의 판결로 불변 코드에 대한 전면적인 제재가 훨씬 어려워졌고, 이는 다양한 개인정보 보호 도구와 소유자 불명 프로토콜을 보호하는 효과를 가져왔습니다. 하지만 공개된 형사 고발은 또 다른 위험을 초래합니다. 개발자는 자금이 오용되거나 서비스가 실행되지 않더라도, 제3자가 코드를 악용할 경우 개인적인 위험에 직면할 수 있습니다. 업계 전반에 걸쳐 이러한 불안감이 감돌고 있습니다. 일부 개발자는 금융 정보 보호와 관련된 소프트웨어를 출시하는 것을 주저하고 있으며, 몇몇은 아예 미국을 떠났습니다. 개인정보 보호와 악용 단속, 이것이 바로 암호화폐 금융 소프트웨어 개발자 모두가 고민하는 문제이며, 토네이도 캐시 사건이 그 대표적인 사례입니다. 유럽에서 페르체프가 유죄 판결을 받은 사건과 미국에서 스톰 사건에 대한 의견이 엇갈린 판결은 다소 다른 방향을 제시하고 있어, 개발자들은 정확히 어디까지가 허용되는 선인지 혼란스러워하고 있습니다.
토네이도 캐시 사태의 현재 상황은?
간단히 말해서, 코드가 승리했고 관련자들은 여전히 재판대에 서 있습니다. 프로토콜에 대한 제재는 해제되었고, 계약은 그대로 유지되었으며, 법원은 OFAC가 블랙리스트에 올릴 수 있는 대상을 명확히 했습니다. 하지만 익명의 사용자가 나중에 개인정보 보호 소프트웨어를 사용하는 방식에 대해 개발자가 형사 책임을 져야 하는지는 아직 해결되지 않았습니다. 스톰 재심은 이 질문을 더욱 심화시킬 것입니다. 따라서 진정으로 주목해야 할 것은 토네이도 캐시 자체가 아니라, 개발자의 책임과 사용자의 책임이 어디에서 시작되는지를 법이 어떻게 규정할 것인가 하는 판례입니다.
