클로인트, B9 Exchange는 피그 부처링 사기 플랫폼…HuionePay 관련 자금 흐름 확인

클로인트는 「B9 Exchange 조사 보고서」를 통해 B9.com(B9 Crypto)이 합법적인 가상자산 거래소를 가장해 운영된 전형적인 피그 부처링(Pig Butchering) 기반 투자 사기 플랫폼이라고 밝혔다. 조사 결과, B9는 실제 거래가 이루어지지 않는 허위 거래 환경을 구축한 뒤, 피해자 계정에 가상의 수익을 표시하는 방식으로 추가 투자를 유도한 것으로 분석됐다.

B9는 ‘세계 최고의 디지털 자산 관리 플랫폼’을 표방하며 현물·파생상품·자산 관리 등 다양한 가상자산 서비스를 제공한다고 홍보해 왔으나, 설립 시점과 운영 주체, 사업 실체에 대한 정보는 일관되지 않았다. B9가 본사 소재지로 주장한 캐나다 주소는 실제로는 공유 오피스로 확인됐으며, 미국 금융범죄단속네트워크(FinCEN)에 등록되었다고 주장한 MSB(Money Services Business) 정보 역시 공식 데이터베이스에서 확인되지 않는 허위 정보로 드러났다. 이러한 외형적 위장 구조는 다수의 피그 부처링 사기 플랫폼에서 반복적으로 관찰되는 전형적인 수법과 동일하다.

미국 네바다주 국무장관실은 2025년 6월, B9 운영에 관여한 인물들에 대해 증권법 위반을 사유로 한 영업중지 명령을 발령했다. 또한 워싱턴주 금융감독원(DFI)은 B9를 명시적인 사기 플랫폼으로 지목하며 투자자 경고를 발표했다. 이는 B9가 단순한 민원 또는 분쟁 대상이 아니라, 규제 당국 차원에서 사기로 공식 판단된 사례임을 의미한다.

B9의 사기 운영 방식은 전형적인 피그 부처링 구조를 따른다. 텔레그램을 주요 접촉 수단으로 활용해 피해자에게 접근한 뒤, 수주에서 수개월에 걸쳐 신뢰 관계를 형성한다. 이후 ‘Blockchain Authentication’, ‘Binary Algorithm’ 등 전문적인 용어를 사용해 고수익이 가능한 투자 기회인 것처럼 설명하며 투자를 유도한다. 초기 단계에서는 소액 출금을 허용해 신뢰를 강화하지만, 이후 계좌에 허위 수익을 표시하며 고액 투자를 유도하고, 심지어 대출이나 지인 차용까지 압박하는 사례도 확인됐다.

피해자가 출금을 시도할 경우, 계정이 즉시 동결되며 보안 위반, 세금 납부, 보증금 예치 등의 사유로 추가 자금을 요구하는 패턴이 반복적으로 확인됐다. 이러한 요구에 대해 명확한 산정 기준이나 공식 문서는 제공되지 않았으며, 피해자가 추가 송금을 거부할 경우 모든 연락이 두절되는 양상이 나타났다.

가상자산 흐름 분석 결과, 피해자 자금은 Crypto.com 등 합법 거래소에서 이더리움 또는 USDT를 구매한 뒤 SafePal 지갑으로 이동했으며, 이후 B9 Exchange가 안내한 지갑 주소로 송금된 정황이 확인됐다. 문제는 해당 자금이 다시 다수의 중간 지갑을 거쳐 HuionePay로 집결되는 흐름이 확인됐다는 점이다. HuionePay는 과거 다수의 피그 부처링 및 온라인 투자 사기 사건에서 반복적으로 등장한 결제·환전 채널로, B9 사건의 자금 흐름 역시 기존 피그 부처링 사례와 높은 유사성을 보였다.

특히 일부 거래에서는 단일 트랜잭션 기준 수십만 달러에서 최대 1,000,000 USDT에 달하는 고액 송금이 확인됐다. 이는 일반적인 개인 투자 거래로 보기 어려운 규모로, 사기 자금의 집결 및 외부 유출 과정에서 HuionePay가 조직적으로 활용됐을 가능성을 시사한다.

조사 과정에서 B9 Crypto가 안내한 지갑 주소로 가상자산을 직접 송금하는 테스트를 진행한 결과, 플랫폼 내 잔고는 정상적으로 반영된 것처럼 표시됐으나 출금을 시도하는 즉시 제한이 발생했다. 이미 인증이 완료된 상태에서도 추가 인증을 요구하거나 계정을 동결하는 방식은, 피해자 자금을 장기간 묶어두기 위해 피그 부처링 사기에서 반복적으로 사용되는 전형적인 수법이다.

클로인트는 “B9 Exchange 사건은 전 세계적으로 확산되고 있는 피그 부처링 기반 가상자산 투자 사기의 전형적인 사례”라며, “특히 HuionePay로 이어지는 자금 흐름이 기존 피그 부처링 사건과 동일한 패턴을 보인다는 점에서 투자자들의 각별한 주의가 필요하다”고 밝혔다. 이어 “현재도 관련 도메인이 활성화된 만큼, 유사 수법에 대한 경계와 함께 조기 차단 및 모니터링이 중요하다”고 덧붙였다.