스테이블코인 AML을 위한 행동 기반 지갑 탐지와 트리 앙상블 모델의 우수성

초록

본 논문은 이더리움 네트워크에서 USDT·USDC와 같은 중앙집중형 스테이블코인 흐름을 대상으로, 68개의 행동 특성을 추출해 라벨링된 대규모 데이터셋 StableAML을 구축한다. 트리 기반 앙상블 모델이 그래프 신경망(GNN)보다 높은 Macro‑F1 점수를 기록하며, 모델 해석을 통해 사이버 범죄 조직과 제재 대상 엔티티의 거래 패턴 차이를 구분한다. 규제 요구사항(MiCA, GENIUS Act)과 연계해 고정밀 AML 솔루션을 제시한다.

상세 분석

StableAML 논문은 스테이블코인 AML 연구에서 두드러진 몇 가지 기술적 기여를 제시한다. 첫째, 저자들은 USDT와 USDC 전용 전송 이벤트 로그를 2017‑11‑28부터 2025‑08‑08까지 추출해, 토큰 전송 자체에 초점을 맞춘 “Transfer Event” 기반 데이터 파이프라인을 구축했다. 이는 메타트랜잭션이나 릴레이어 주소가 섞인 일반 트랜잭션과 달리 실제 경제적 흐름을 정확히 포착한다는 점에서 의미가 크다.

두 번째로, 라벨링 과정은 Etherscan 신고, 보안 업체(예: SlowMist, PeckShield) 제공 인디케이터, 그리고 OFAC 제재 명단을 통합해 ‘의심’, ‘악성’, ‘정상’ 세 클래스로 구분하였다. 이렇게 구축된 라벨은 68개의 도메인 특화 피처와 매핑된다. 피처는 크게 네 가지 카테고리(Interaction, Derived Network, Transfer‑based, Temporal & Direct)로 나뉘며, 예를 들어 지갑 간 상호작용 횟수, 평균 입출금 간격, 토큰 락·프리징 이벤트 연관성, 시간대별 거래 집중도 등을 포함한다.

모델링 단계에서는 XGBoost, LightGBM, CatBoost 등 최신 트리 앙상블을 네 가지 변형으로 실험했으며, GraphSAGE, GAT, GCN 등 대표적인 GNN도 비교 대상으로 삼았다. 결과는 트리 모델이 Macro‑F1 = 0.87 수준으로 GNN(≈0.71)보다 현저히 우수했음을 보여준다. 저자들은 GNN 성능 저하 원인을 두 가지로 설명한다. 첫째, 스테이블코인 거래는 프리징·블랙리스트 호출 등 스마트 계약 레이어에서 발생하는 비연속적 흐름을 만들며, 이는 그래프 구조를 파편화한다. 둘째, 제로지식 증명(ZKP) 기반 믹서와 같은 프라이버시 레이어가 노드 간 연결성을 인위적으로 차단해 메시지 패싱 효율을 감소시킨다. 반면 트리 모델은 개별 지갑의 행동 시계열과 파생 통계치를 직접 활용하므로, 그래프 연결성에 의존하지 않는다.

해석 가능성 측면에서 SHAP 값을 활용해 피처 중요도를 시각화했으며, ‘고빈도 다중 홉 전송’, ‘프리징 이벤트와 연계된 주소’, ‘비정상적 시간대 집중도’가 핵심 위험 신호로 도출되었다. 특히 사이버 범죄 조직은 짧은 시간 내 다수의 대규모 전송을 수행하고, 여러 중간 지갑을 거쳐 흐름을 분산시키는 반면, 제재 대상 엔티티는 상대적으로 정적인 거래 패턴과 제한된 주소군에 머무르는 것이 확인되었다.

규제 연계 논의에서는 EU MiCA와 미국 GENIUS Act이 요구하는 투명성·감사 가능성을 충족시키기 위해, 모델이 제공하는 ‘위험 점수 + 설명형 피처’ 형태가 정책 입안자와 컴플라이언스 팀에 실용적인 의사결정 도구가 될 수 있음을 강조한다. 또한, 자동화된 고정밀 탐지는 자산 동결 비용을 최소화하면서도 불법 자금 흐름의 경제적 비용을 상승시켜, 혁신을 저해하지 않는 AML 방안을 제시한다.

전반적으로 이 논문은 (1) 스테이블코인 전용 라벨링 데이터셋 구축, (2) 행동 기반 피처와 트리 앙상블의 강점 입증, (3) 모델 해석을 통한 유형별 라벨링 제공이라는 세 축을 통해 기존 그래프‑중심 AML 접근법의 한계를 보완한다는 점에서 학술·산업 모두에 중요한 시사점을 제공한다.