WO2021045331A1 - 암호화폐 거래 분석 방법 및 장치 - Google Patents

Abstract

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법에 대한 것으로써, 데이터베이스로부터 사기 거래를 위해 사용된 것으로 레이블된 사기 주소들(scam addresses)에 대한 정보 및 정상적인 거래를 위해 사용된 것으로 레이블된 양호 주소들(benign addresses)에 대한 정보를 획득하는 단계, 사기 주소들에 대한 정보에 기초하여, 동일한 사용자가 소유하고 있는 것으로 결정된 사기 주소 그룹에 대한 정보를 획득하는 단계, 사기 주소 그룹에 기초하여, 자금 세탁을 위해 사용되는 뮬(mule) 주소 그룹에 대한 정보를 획득하는 단계, 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보 중 적어도 하나에 기초하여 양호 주소들, 사기 주소 그룹 또는 뮬 주소 그룹에 포함된 주소들 각각에 대응되는 특징 정보를 획득하는 단계 및 주소들 각각에 대응되는 특징 정보 및 주소들 각각에 대응되는 레이블 정보를 기계학습하여 기계학습모델을 생성하는 단계를 포함하는 것을 특징으로 한다.

Description

암호화폐 거래 분석 방법 및 장치

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법 및 장치에 관한 것이다. 보다 구체적으로 본 개시는 기계학습모델을 생성하기 위하여 이미 획득된 사기 주소에 대한 정보 및 양호 주소에 대한 정보로부터 특징 정보를 도출할 수 있다.

암호화폐(cryptocurrency)는 교환 수단으로 기능하도록 고안된 디지털 자산으로, 블록체인(blockchain) 기술로 암호화되어 분산발행되고 일정한 네트워크에서 화폐로 사용할 수 있는 전자정보를 말한다. 암호화폐는 중앙은행이 발행하지 않고 블록체인 기술에 기초하여 금전적 가치가 디지털방식으로 표시된 전자정보로서 인터넷상 P2P 방식으로 분산 저장되어 운영·관리된다. 암호화폐를 발행하고 관리하는 핵심 기법은 블록체인(blockchain) 기술이다. 블록체인은 지속적으로 늘어나는 기록(블록)의 일람표로서 블록은 암호화방법을 사용하여 연결되어 보안이 확보된다. 각 블록은 전형적으로는 이전 블록의 암호해쉬, 타임스탬프와 거래 데이터를 포함한다. 블록체인은 처음부터 데이터의 수정에 대해 저항력을 가지고 있으며, 양 당사자 간의 거래를 유효하게 영구적으로 증명할 수 있는 공개된 분산 장부이다. 따라서 암호화폐는 조작 방지를 기반으로 투명한 운영을 가능하게 한다.

그 밖에, 암호화폐는 기존 화폐와는 달리 익명성을 갖고 있어, 준 사람과 받은 사람 이외의 제3자는 거래 내역을 일체 알 수 없다는 특징이 있다. 계좌의 익명성 때문에 거래의 흐름을 추적하기 어려우며(Non-trackable), 송금기록, 수금기록 등 일체의 기록은 모두 공개되어 있으나 거래 주체는 알 수 없다.

암호화폐는 전술한 바와 같은 자유성과 투명성으로 인해 기존의 기축통화를 대체할 수 있는 대안으로 여겨지고 있으며, 기존 통화 대비 저렴한 수수료와 간단한 송금 절차로 국제 간 거래 등에 효과적으로 사용될 수 있을 것으로 보인다. 다만 그 익명성으로 인해 암호화폐는 사기 거래에 사용되는 등 범죄 수단으로 악용되기도 한다.

한편, 암호화폐 거래의 데이터는 방대하여 사기 거래의 특징을 수동으로 판별하여 사기 주체를 결정하기 어려운 문제점이 있었다. 이와 관련하여 기계학습을 이용하면 방대한 데이터들의 관계를 자동으로 학습할 수 있다.

따라서 기계학습을 이용하여 암호화폐를 범죄 수단으로 사용하는 거래 주체를 파악할 수 있는 방법이 요구된다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법은 데이터베이스로부터 사기 거래를 위해 사용된 것으로 레이블된 사기 주소들(scam addresses)에 대한 정보 및 정상적인 거래를 위해 사용된 것으로 레이블된 양호 주소들(benign addresses)에 대한 정보를 획득하는 단계, 사기 주소들에 대한 정보에 기초하여, 동일한 사용자가 소유하고 있는 것으로 결정된 사기 주소 그룹에 대한 정보를 획득하는 단계, 사기 주소 그룹에 기초하여, 자금 세탁을 위해 사용되는 뮬(mule) 주소 그룹에 대한 정보를 획득하는 단계, 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보 중 적어도 하나에 기초하여 양호 주소들, 사기 주소 그룹 또는 뮬 주소 그룹에 포함된 주소들 각각에 대응되는 특징 정보를 획득하는 단계 및 주소들 각각에 대응되는 특징 정보 및 주소들 각각에 대응되는 레이블 정보를 기계학습하여 기계학습모델을 생성하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 뮬 주소 그룹에 대한 정보를 획득하는 단계는, 사기 주소 그룹에 대한 정보에 기초하여, 사기 주소 그룹에 포함된 제 1 사기 주소와 관련된 암호화폐의 흐름을 획득하는 단계 및 제 1 사기 주소에서 암호화폐가 전송되어 사기 주소 그룹 또는 사기 주소 그룹과 다른 사기 주소 그룹에 포함된 제 2 사기 주소로 도달하기까지 거치는 주소들의 모임을 뮬 주소 그룹으로 결정하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 특징 정보를 획득하는 단계는, 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 및 뮬 주소 그룹에 대한 정보에 기초하여, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소의 최초 거래부터 최후 거래까지의 시간을 나타내는 제 1 특징 정보를 획득하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 특징 정보를 획득하는 단계는, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소의 암호화폐 수신 후 암호화폐 송신까지 걸리는 시간의 평균을 나타내는 제 2 특징 정보를 획득하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 특징 정보를 획득하는 단계는, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 수신하는 제 1 거래들의 개수 당 제 1 거래들에서 암호화폐를 송금하는 출발지 주소들의 개수를 나타내는 제 1 주소 개수 정보를 획득 하는 단계, 제 1 거래들의 개수 당 제 1 거래들에서 암호화폐를 수신하는 목적지 주소들의 개수를 나타내는 제 2 주소 개수 정보를 획득 하는 단계, 목표 주소가 암호화폐를 송신하는 제 2 거래들의 개수 당 제 2 거래들에서 암호화폐를 송금하는 출발지 주소들의 개수를 나타내는 제 3 주소 개수 정보를 획득 하는 단계, 제 2 거래들의 개수 당 제 2 거래들에서 암호화폐를 수신하는 목적지 주소들의 개수를 나타내는 제 4 주소 개수 정보를 획득 하는 단계 및 제 1 주소 개수 정보, 제 2 주소 개수 정보, 제 3 주소 개수 정보 및 제 4 주소 개수 정보를 제 3 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 특징 정보를 획득하는 단계는, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 목표 주소가 포함된 주소 그룹으로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 1 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 2 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 사기 주소 그룹에 포함된 제 1 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 3 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 뮬 주소 그룹에 포함된 제 2 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 4 비율 정보를 획득하는 단계 및 제 1 비율 정보, 제 2 비율 정보, 제 3 비율 정보 및 제 4 비율 정보를 제 4 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 특징 정보를 획득하는 단계는, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 목표 주소가 포함된 주소 그룹으로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 5 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 6 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 사기 주소 그룹에 포함된 제 1 주소로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 7 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 뮬 주소 그룹에 포함된 제 2 주소로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 8 비율 정보를 획득하는 단계 및 제 5 비율 정보, 제 6 비율 정보, 제 7 비율 정보 및 제 8 비율 정보를 제 5 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법의 특징 정보를 획득하는 단계는, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 9 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 사기 주소 그룹에 포함된 제 1 주소로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 10 비율 정보를 획득하는 단계, 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 뮬 주소 그룹에 포함된 제 2 주소로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 11 비율 정보를 획득하는 단계 및 제 9 비율 정보, 제 10 비율 정보 및 제 11 비율 정보를 제 6 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법은 새로운 암호화폐 주소를 획득하는 단계, 새로운 암호화폐 주소에 대한 새로운 특징 정보를 획득하는 단계, 새로운 특징 정보를 기계학습모델에 적용하여 새로운 암호화폐 주소가 사기 주소인지 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.

본 개시는 기계학습모델을 이용하여 암호화폐의 사기 주소를 검출하기 위한 방법은 새로운 암호화폐 주소가, 사기 주소 그룹에 포함된 경우 새로운 암호화폐 주소의 사기 위험도를 5로 결정하는 단계, 새로운 암호화폐 주소가, 사기 주소 그룹에 포함된 제 1 주소와 직접적으로 암호화폐를 거래한 경우, 새로운 암호화폐 주소의 사기 위험도를 4로 결정하는 단계, 새로운 암호화폐 주소가, 사기 주소 그룹에 포함된 제 1 주소와 간접적으로 암호화폐를 거래한 경우, 새로운 암호화폐 주소의 사기 위험도를 3으로 결정하는 단계, 기계학습모델에 기초하여 새로운 암호화폐 주소가 사기 주소인 것으로 판단된 경우, 새로운 암호화폐 주소의 사기 위험도를 2로 결정하는 단계, 새로운 암호화폐 주소가 거래이력이 없는 경우, 새로운 암호화폐 주소의 사기 위험도를 1로 결정하는 단계 및 위험도가 1 내지 5로 분류되지 않은 경우, 새로운 암호화폐 주소의 사기 위험도를 0으로 결정하는 단계를 포함하는 것을 특징으로 한다.

또한, 상술한 바와 같은 사기 주소를 검출하기 위한 방법을 구현하기 위한 프로그램은 컴퓨터로 판독 가능한 기록 매체에 기록될 수 있다.

도 1은 본 개시의 일 실시예에 따른 사기주소검출장치의 블록도이다.

도 2는 본 개시의 일 실시예에 따른 사기주소검출장치를 나타낸 도면이다.

도 3은 본 개시의 일 실시예에 다른 사기주소검출장치를 나타낸 블록도이다.

도 4은 본 개시의 일 실시예에 따른 사기주소검출장치의 동작을 나타내는 흐름도이다.

도 5는 본 개시의 일 실시예에 따라 뮬 주소 그룹에 대한 정보를 획득하는 방법을 나타낸 흐름도이다.

도 6은 본 개시의 일 실시예에 따라 뮬 주소 그룹에 대한 정보를 획득하는 과정을 나타낸 흐름도이다.

도 7은 본 개시의 일 실시예에 따라 뮬 주소 그룹에 대한 정보를 획득하는 과정을 나타낸 흐름도이다.

도 8은 본 개시의 일 실시예에 따라 뮬 주소 그룹에 대한 정보를 획득하는 과정을 나타낸 흐름도이다.

도 9는 본 개시의 일 실시예에 따라 특징 정보를 획득하는 과정을 설명하기 위한 도면이다.

도 10 은 본 개시의 일 실시예에 따른 사기주소검출장치(100)의 동작을 나타내는 블록도이다.

개시된 실시예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.

본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시예에 대해 구체적으로 설명하기로 한다.

본 명세서에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.

본 명세서에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다. 또한 복수의 표현은 문맥상 명백하게 복수인 것으로 특정하지 않는 한, 단수의 표현을 포함한다.

명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.

또한, 명세서에서 사용되는 "부"라는 용어는 소프트웨어 또는 하드웨어 구성요소를 의미하며, "부"는 어떤 역할들을 수행한다. 그렇지만 "부"는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. "부"는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 "부"는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 "부"들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 "부"들로 결합되거나 추가적인 구성요소들과 "부"들로 더 분리될 수 있다.

본 개시의 일 실시예에 따르면 "부"는 프로세서 및 메모리로 구현될 수 있다. 용어 "프로세서" 는 범용 프로세서, 중앙 처리 장치 (CPU), 마이크로프로세서, 디지털 신호 프로세서 (DSP), 제어기, 마이크로제어기, 상태 머신 등을 포함하도록 넓게 해석되어야 한다. 몇몇 환경에서는, "프로세서" 는 주문형 반도체 (ASIC), 프로그램가능 로직 디바이스 (PLD), 필드 프로그램가능 게이트 어레이 (FPGA) 등을 지칭할 수도 있다. 용어 "프로세서" 는, 예를 들어, DSP 와 마이크로프로세서의 조합, 복수의 마이크로프로세서들의 조합, DSP 코어와 결합한 하나 이상의 마이크로프로세서들의 조합, 또는 임의의 다른 그러한 구성들의 조합과 같은 처리 디바이스들의 조합을 지칭할 수도 있다.

용어 "메모리" 는 전자 정보를 저장 가능한 임의의 전자 컴포넌트를 포함하도록 넓게 해석되어야 한다. 용어 메모리는 임의 액세스 메모리 (RAM), 판독-전용 메모리 (ROM), 비-휘발성 임의 액세스 메모리 (NVRAM), 프로그램가능 판독-전용 메모리 (PROM), 소거-프로그램가능 판독 전용 메모리 (EPROM), 전기적으로 소거가능 PROM (EEPROM), 플래쉬 메모리, 자기 또는 광학 데이터 저장장치, 레지스터들 등과 같은 프로세서-판독가능 매체의 다양한 유형들을 지칭할 수도 있다. 프로세서가 메모리로부터 정보를 판독하고/하거나 메모리에 정보를 기록할 수 있다면 메모리는 프로세서와 전자 통신 상태에 있다고 불린다. 프로세서에 집적된 메모리는 프로세서와 전자 통신 상태에 있다.

아래에서는 첨부한 도면을 참고하여 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략한다.

도 1은 본 개시의 일 실시예에 따른 사기주소검출장치(100)의 블록도이다.

도 1을 참조하면, 일 실시예에 따른 사기주소검출장치(100)는 데이터 학습부(110) 또는 데이터 인식부(120) 중 적어도 하나를 포함할 수 있다. 상술한 바와 같은 사기주소검출장치(100)는 프로세서 및 메모리를 포함할 수 있다.

데이터 학습부(110)는 데이터 세트를 이용하여 타겟 태스크(target task)를 수행하기 위한 기계학습모델을 학습할 수 있다. 데이터 학습부(110)는 데이터 세트 및 타겟 태스크와 관련된 레이블 정보를 수신할 수 있다. 데이터 학습부(110)는 데이터 세트와 레이블 정보의 관계에 대해 기계학습을 수행하여 기계학습모델을 획득할 수 있다. 데이터 학습부(110)가 획득한 기계학습모델은 데이터 세트를 이용하여 레이블 정보를 생성하기 위한 모델일 수 있다.

데이터 인식부(120)는 데이터 학습부(110)의 기계학습모델을 수신하여 저장하고 있을 수 있다. 데이터 인식부(120)는 입력 데이터에 기계학습모델을 적용하여 레이블 정보를 출력할 수 있다. 또한, 데이터 인식부(120)는 입력 데이터, 레이블 정보 및 기계학습모델에 의해 출력된 결과를 기계학습모델을 갱신하는데 이용할 수 있다.

데이터 학습부(110) 및 데이터 인식부(120) 중 적어도 하나는, 적어도 하나의 하드웨어 칩 형태로 제작되어 전자 장치에 탑재될 수 있다. 예를 들어, 데이터 학습부(110) 및 데이터 인식부(120) 중 적어도 하나는 인공 지능(AI; artificial intelligence)을 위한 전용 하드웨어 칩 형태로 제작될 수도 있고, 또는 기존의 범용 프로세서(예: CPU 또는 application processor) 또는 그래픽 전용 프로세서(예: GPU)의 일부로 제작되어 이미 설명한 각종 전자 장치에 탑재될 수도 있다.

또한 데이터 학습부(110) 및 데이터 인식부(120)는 별개의 전자 장치들에 각각 탑재될 수도 있다. 예를 들어, 데이터 학습부(110) 및 데이터 인식부(120) 중 하나는 전자 장치에 포함되고, 나머지 하나는 서버에 포함될 수 있다. 또한, 데이터 학습부(110) 및 데이터 인식부(120)는 유선 또는 무선으로 통하여, 데이터 학습부(110)가 구축한 기계학습모델 정보를 데이터 인식부(120)로 제공할 수도 있고, 데이터 인식부(120)로 입력된 데이터가 추가 학습 데이터로써 데이터 학습부(110)로 제공될 수도 있다.

한편, 데이터 학습부(110) 및 데이터 인식부(120) 중 적어도 하나는 소프트웨어 모듈로 구현될 수 있다. 데이터 학습부(110) 및 데이터 인식부(120) 중 적어도 하나가 소프트웨어 모듈(또는, 인스트럭션(instruction)을 포함하는 프로그램 모듈)로 구현되는 경우, 소프트웨어 모듈은 메모리 또는 컴퓨터로 읽을 수 있는 판독 가능한 비일시적 판독 가능 기록매체(non-transitory computer readable media)에 저장될 수 있다. 또한, 이 경우, 적어도 하나의 소프트웨어 모듈은 OS(Operating System)에 의해 제공되거나, 소정의 애플리케이션에 의해 제공될 수 있다. 또는, 적어도 하나의 소프트웨어 모듈 중 일부는 OS(Operating System)에 의해 제공되고, 나머지 일부는 소정의 애플리케이션에 의해 제공될 수 있다.

본 개시의 일 실시예에 따른 데이터 학습부(110)는 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115)를 포함할 수 있다.

데이터 획득부(111)는 기계학습에 필요한 데이터를 획득할 수 있다. 학습을 위해서는 많은 데이터가 필요하므로, 데이터 획득부(111)는 복수의 데이터를 포함하는 데이터 세트를 수신할 수 있다.

복수의 데이터 각각에 대하여 레이블 정보가 할당될 수 있다. 레이블 정보는 복수의 데이터의 각각을 설명하는 정보일 수 있다. 레이블 정보는 타겟 태스크(target task)가 도출하고자 하는 정보일 수 있다. 레이블 정보는 사용자 입력으로부터 획득되거나, 메모리로부터 획득되거나, 기계학습모델의 결과로부터 획득될 수 있다. 예를 들어 타겟 태스크가 암호화폐 주소의 거래이력과 관련된 정보로부터 암호화폐 주소가 사기꾼이 소유한 주소인지 여부를 결정하기 위한 것이라면, 기계학습에 사용되는 복수의 데이터는 암호화폐 주소의 거래이력과 관련된 데이터가 될 것이며 레이블 정보는 암호화폐 주소가 사기꾼이 소유한 주소인지 여부가 될 것이다.

전처리부(112)는 수신된 데이터가 기계학습에 이용될 수 있도록, 획득된 데이터를 전처리할 수 있다. 전처리부(112)는 후술할 모델 학습부(114)가 이용할 수 있도록, 획득된 데이터 세트를 미리 설정된 포맷으로 가공할 수 있다.

학습 데이터 선택부(113)는 전처리된 데이터 중에서 학습에 필요한 데이터를 선택할 수 있다. 선택된 데이터는 모델 학습부(114)에 제공될 수 있다. 학습 데이터 선택부(113)는 기 설정된 기준에 따라, 전처리된 데이터 중에서 학습에 필요한 데이터를 선택할 수 있다. 또한, 학습 데이터 선택부(113)는 후술할 모델 학습부(114)에 의한 학습에 의해 기 설정된 기준에 따라 데이터를 선택할 수도 있다.

모델 학습부(114)는 데이터 세트에 기초하여 어떤 레이블 정보를 출력할 지에 관한 기준을 학습할 수 있다. 또한, 모델 학습부(114)는 데이터 세트 및 데이터 세트 대한 레이블 정보를 학습 데이터로써 이용하여 기계학습을 수행할 수 있다. 또한 모델 학습부(114)는 기존에 획득된 기계학습모델을 추가적으로 이용하여 기계학습을 수행할 수 있다. 이 경우, 기존에 획득된 기계학습모델은 미리 구축된 모델일 수 있다. 예를 들어, 기계학습모델은 기본 학습 데이터를 입력 받아 미리 구축된 모델일 수 있다.

기계학습모델은, 학습모델의 적용 분야, 학습의 목적 또는 장치의 컴퓨터 성능 등을 고려하여 구축될 수 있다. 기계학습모델은, 예를 들어, 신경망(Neural Network)을 기반으로 하는 모델일 수 있다. 예컨대, Deep Neural Network (DNN), Recurrent Neural Network (RNN), Long Short-Term Memory models (LSTM), BRDNN (Bidirectional Recurrent Deep Neural Network), Convolutional Neural Networks (CNN)과 같은 모델이 기계학습모델로써 사용될 수 있으나, 이에 한정되지 않는다.

다양한 실시예에 따르면, 모델 학습부(114)는 미리 구축된 기계학습모델이 복수 개가 존재하는 경우, 입력된 학습 데이터와 기본 학습 데이터의 관련성이 큰 기계학습모델을 학습할 기계학습모델로 결정할 수 있다. 이 경우, 기본 학습 데이터는 데이터의 타입 별로 기 분류되어 있을 수 있으며, 기계학습모델은 데이터의 타입 별로 미리 구축되어 있을 수 있다. 예를 들어, 기본 학습 데이터는 학습 데이터가 생성된 장소, 학습 데이터가 생성된 시간, 학습 데이터의 크기, 학습 데이터의 생성자, 학습 데이터 내의 오브젝트의 종류 등과 같은 다양한 기준으로 기 분류되어 있을 수 있다.

또한, 모델 학습부(114)는, 예를 들어, 오류 역전파법(error back-propagation) 또는 경사 하강법(gradient descent)을 포함하는 학습 알고리즘 등을 이용하여 기계학습모델을 학습시킬 수 있다.

또한, 모델 학습부(114)는, 예를 들어, 학습 데이터를 입력 값으로 하는 지도 학습(supervised learning)을 통하여, 기계학습모델을 학습할 수 있다. 또한, 모델 학습부(114)는, 예를 들어, 별다른 지도없이 타겟 태스크(target task)을 위해 필요한 데이터의 종류를 스스로 학습함으로써, 타겟 태스크를 위한 기준을 발견하는 비지도 학습(unsupervised learning)을 통하여, 기계학습모델을 획득할 수 있다. 또한, 모델 학습부(114)는, 예를 들어, 학습에 따른 타겟 태스크의 결과가 올바른 지에 대한 피드백을 이용하는 강화 학습(reinforcement learning)을 통하여, 기계학습모델을 학습할 수 있다.

또한, 기계학습모델이 학습되면, 모델 학습부(114)는 학습된 기계학습모델을 저장할 수 있다. 이 경우, 모델 학습부(114)는 학습된 기계학습모델을 데이터 인식부(120)를 포함하는 전자 장치의 메모리에 저장할 수 있다. 또는, 모델 학습부(114)는 학습된 기계학습모델을 전자 장치와 유선 또는 무선 네트워크로 연결되는 서버의 메모리에 저장할 수도 있다.

학습된 기계학습모델이 저장되는 메모리는, 예를 들면, 전자 장치의 적어도 하나의 다른 구성요소에 관계된 명령 또는 데이터를 함께 저장할 수도 있다. 또한, 메모리는 소프트웨어 및/또는 프로그램을 저장할 수도 있다. 프로그램은, 예를 들면, 커널, 미들웨어, 어플리케이션 프로그래밍 인터페이스(API) 및/또는 어플리케이션 프로그램(또는 "어플리케이션") 등을 포함할 수 있다.

모델 평가부(115)는 기계학습모델에 평가 데이터를 입력하고, 평가 데이터로부터 출력되는 결과가 소정 기준을 만족하지 못하는 경우, 모델 학습부(114)로 하여금 다시 학습하도록 할 수 있다. 이 경우, 평가 데이터는 기계학습모델을 평가하기 위한 기 설정된 데이터일 수 있다.

예를 들어, 모델 평가부(115)는 평가 데이터에 대한 학습된 기계학습모델의 결과 중에서, 인식 결과가 정확하지 않은 평가 데이터의 개수 또는 비율이 미리 설정된 임계치를 초과하는 경우 소정 기준을 만족하지 못한 것으로 평가할 수 있다. 예컨대, 소정 기준이 비율 2%로 정의되는 경우, 학습된 기계학습모델이 총 1000개의 평가 데이터 중의 20개를 초과하는 평가 데이터에 대하여 잘못된 인식 결과를 출력하는 경우, 모델 평가부(115)는 학습된 기계학습모델이 적합하지 않은 것으로 평가할 수 있다.

한편, 학습된 기계학습모델이 복수 개가 존재하는 경우, 모델 평가부(115)는 각각의 학습된 기계학습모델에 대하여 소정 기준을 만족하는지를 평가하고, 소정 기준을 만족하는 모델을 최종 기계학습모델로써 결정할 수 있다. 이 경우, 소정 기준을 만족하는 모델이 복수 개인 경우, 모델 평가부(115)는 평가 점수가 높은 순으로 미리 설정된 어느 하나 또는 소정 개수의 모델을 최종 기계학습모델로써 결정할 수 있다.

한편, 데이터 학습부(110) 내의 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115) 중 적어도 하나는, 적어도 하나의 하드웨어 칩 형태로 제작되어 전자 장치에 탑재될 수 있다. 예를 들어, 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115) 중 적어도 하나는 인공 지능(AI; artificial intelligence)을 위한 전용 하드웨어 칩 형태로 제작될 수도 있고, 또는 기존의 범용 프로세서(예: CPU 또는 application processor) 또는 그래픽 전용 프로세서(예: GPU)의 일부로 제작되어 전술한 각종 전자 장치에 탑재될 수도 있다.

또한, 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115)는 하나의 전자 장치에 탑재될 수도 있으며, 또는 별개의 전자 장치들에 각각 탑재될 수도 있다. 예를 들어, 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115) 중 일부는 전자 장치에 포함되고, 나머지 일부는 서버에 포함될 수 있다.

또한, 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115) 중 적어도 하나는 소프트웨어 모듈로 구현될 수 있다. 데이터 획득부(111), 전처리부(112), 학습 데이터 선택부(113), 모델 학습부(114) 및 모델 평가부(115) 중 적어도 하나가 소프트웨어 모듈(또는, 인스트럭션(instruction) 포함하는 프로그램 모듈)로 구현되는 경우, 소프트웨어 모듈은 컴퓨터로 읽을 수 있는 판독 가능한 비일시적 판독 가능 기록매체(non-transitory computer readable media)에 저장될 수 있다. 또한, 이 경우, 적어도 하나의 소프트웨어 모듈은 OS(Operating System)에 의해 제공되거나, 소정의 애플리케이션에 의해 제공될 수 있다. 또는, 적어도 하나의 소프트웨어 모듈 중 일부는 OS(Operating System)에 의해 제공되고, 나머지 일부는 소정의 애플리케이션에 의해 제공될 수 있다.

본 개시의 일 실시예에 따른 데이터 인식부(120)는 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125)를 포함할 수 있다.

데이터 획득부(121)는 입력 데이터를 수신할 수 있다. 전처리부(122)는 획득된 입력 데이터가 인식 데이터 선택부(123) 또는 인식 결과 제공부(124)에서 이용될 수 있도록, 획득된 입력 데이터를 전처리할 수 있다.

인식 데이터 선택부(123)는 전처리된 데이터 중에서 필요한 데이터를 선택할 수 있다. 선택된 데이터는 인식 결과 제공부(124)에게 제공될 수 있다. 인식 데이터 선택부(123)는 기 설정된 기준에 따라, 전처리된 데이터 중에서 일부 또는 전부를 선택할 수 있다. 또한, 인식 데이터 선택부(123)는 모델 학습부(114)에 의한 학습에 의해 기 설정된 기준에 따라 데이터를 선택할 수도 있다.

인식 결과 제공부(124)는 선택된 데이터를 기계학습모델에 적용하여 결과 데이터를 획득할 수 있다. 기계학습모델은 모델 학습부(114)에 의하여 생성된 기계학습모델일 수 있다. 인식 결과 제공부(124)는 결과 데이터를 출력할 수 있다.

모델 갱신부(125)는 인식 결과 제공부(124)에 의해 제공되는 인식 결과에 대한 평가에 기초하여, 기계학습모델이 갱신되도록 할 수 있다. 예를 들어, 모델 갱신부(125)는 인식 결과 제공부(124)에 의해 제공되는 인식 결과를 모델 학습부(114)에게 제공함으로써, 모델 학습부(114)가 기계학습모델을 갱신하도록 할 수 있다.

한편, 데이터 인식부(120) 내의 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125) 중 적어도 하나는, 적어도 하나의 하드웨어 칩 형태로 제작되어 전자 장치에 탑재될 수 있다. 예를 들어, 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125) 중 적어도 하나는 인공 지능(AI; artificial intelligence)을 위한 전용 하드웨어 칩 형태로 제작될 수도 있고, 또는 기존의 범용 프로세서(예: CPU 또는 application processor) 또는 그래픽 전용 프로세서(예: GPU)의 일부로 제작되어 전술한 각종 전자 장치에 탑재될 수도 있다.

또한, 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125)는 하나의 전자 장치에 탑재될 수도 있으며, 또는 별개의 전자 장치들에 각각 탑재될 수도 있다. 예를 들어, 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125) 중 일부는 전자 장치에 포함되고, 나머지 일부는 서버에 포함될 수 있다.

또한, 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125) 중 적어도 하나는 소프트웨어 모듈로 구현될 수 있다. 데이터 획득부(121), 전처리부(122), 인식 데이터 선택부(123), 인식 결과 제공부(124) 및 모델 갱신부(125) 중 적어도 하나가 소프트웨어 모듈(또는, 인스트럭션(instruction) 포함하는 프로그램 모듈)로 구현되는 경우, 소프트웨어 모듈은 컴퓨터로 읽을 수 있는 판독 가능한 비일시적 판독 가능 기록매체(non-transitory computer readable media)에 저장될 수 있다. 또한, 이 경우, 적어도 하나의 소프트웨어 모듈은 OS(Operating System)에 의해 제공되거나, 소정의 애플리케이션에 의해 제공될 수 있다. 또는, 적어도 하나의 소프트웨어 모듈 중 일부는 OS(Operating System)에 의해 제공되고, 나머지 일부는 소정의 애플리케이션에 의해 제공될 수 있다.

아래에서는 데이터 학습부(110)의 데이터 획득부(111), 전처리부(112) 및 학습 데이터 선택부(113)가 학습 데이터를 수신하여 처리하는 방법 및 장치에 대하여 보다 자세히 설명한다.

도 2는 본 개시의 일 실시예에 따른 사기주소검출장치를 나타낸 도면이다.

사기주소검출장치(100)는 프로세서(210) 및 메모리(220)를 포함할 수 있다. 프로세서(210)는 메모리(220)에 저장된 명령어들을 수행할 수 있다.

상술한 바와 같이 사기주소검출장치(100)는 데이터 학습부(110) 또는 데이터 인식부(120)를 포함할 수 있다. 데이터 학습부(110) 또는 데이터 인식부(120)는 프로세서(210) 및 메모리(220)에 의하여 구현될 수 있다.

도 3은 본 개시의 일 실시예에 다른 사기주소검출장치를 나타낸 블록도이다. 또한, 도 4은 본 개시의 일 실시예에 따른 사기주소검출장치의 동작을 나타내는 흐름도이다.

사기주소검출장치(100)의 프로세서(210)는 메모리(220)에 저장된 명령어에 기초하여 기계학습을 이용하여 암호화폐 사기 주소를 검출화기 위하여 아래와 같은 단계를 수행할 수 있다.

사기주소검출장치(100)는 데이터베이스(310)로부터 사기 거래를 위해 사용된 것으로 레이블된 사기 주소들(scam addresses)에 대한 정보(311) 및 정상적인 거래를 위해 사용된 것으로 레이블된 양호 주소들(benign addresses)에 대한 정보(312)를 획득하는 단계(410)를 수행할 수 있다.

데이터베이스(310)는 사기 주소들에 대한 정보(311) 및 양호 주소들에 대한 정보(312)를 저장하고 있을 수 있다. 사기 주소들에 대한 정보 및 양호 주소들에 대한 정보는 사기주소검출장치(100)의 데이터 획득부(111), 전처리부(112) 또는 학습 데이터 선택부(113)에 기초하여 데이터베이스(310)에 저장되어 있을 수 있다.

데이터베이스(310)는 사기주소검출장치(100)에 포함되어 있을 수 있다. 또한 데이터베이스(310)는 사기주소검출장치(100)의 외부에 있을 수 있다. 사기주소검출장치(100)는 유무선 통신을 이용하여 데이터베이스(310)로부터 정보를 획득할 수 있다.

사기 주소들에 대한 정보(311) 및 양호 주소들에 대한 정보(312)는 사기 주소들 및 양호 주소들의 주소, 거래이력을 포함할 수 있다. 또한 사기 주소들에 대한 정보(311) 및 양호 주소들에 대한 정보(312)는 사기 주소들 및 양호 주소들에 대한 레이블 정보를 의미할 수 있다. 사기 주소들에 대한 정보 및 양호 주소들에 대한 정보에 포함된 레이블 정보는 '사기'를 나타내거나 '양호'를 나타낼 수 있다.

사기주소검출장치(100)는 사기 주소들에 대한 정보(311)에 기초하여, 동일한 사용자가 소유하고 있는 것으로 결정된 사기 주소 그룹(scam cluster)에 대한 정보를 획득하는 단계(420)를 수행할 수 있다.

사기주소검출장치(100)는 주소 그룹 획득부(320)를 포함할 수 있다. 주소 그룹 획득부(320)는 이미 획득된 주소의 거래이력에 기초하여 동일 사용자가 소유하고 있는 주소들을 더 추출하고, 동일 사용자가 소유하고 있는 주소들을 클러스터링(clustering) 또는 그룹화할 수 있다.

주소 그룹 획득부(320)는 사기 주소 그룹 획득부(321) 및 뮬 주소 그룹 획득부(322)를 포함할 수 있다.

사기 주소 그룹 획득부(321)는 데이터베이스(310)에 포함된 사기 주소들에 대한 정보(311)에 기초하여 동일한 사용자가 소유하고 있는 것으로 결정된 사기 주소들을 그룹화할 수 있다. 예를 들어, 사기주소검출장치(100)는 암호화폐 주소의 그룹화를 위하여 거래의 송신주소로 사용되는 암호화폐 주소에 대응하는 프라이빗 키(private key)의 소유 여부로 송신 주소의 집합을 그룹화하는 멀티 입력 휴리스틱 알고리즘이 사용될 수 있다. 또는 사기주소검출장치(100)는 송금 후 잔액을 돌려받는 주소를 이용하여 동일 소유주로 추정되는 복수개의 주소를 그룹화하는 주소변경 휴리스틱 알고리즘을 사용할 수 있다. 또한 사기주소검출장치(100)는 그 외에도 사용자가 정의한 휴리스틱 알고리즘을 사용할 수 있다. 또한 사기주소검출장치(100)는 사용자 명령에 의해 주소 필터링 및/또는 주소 그룹화가 이루어질 수도 있다.

사기주소검출장치(100)의 뮬 주소 그룹 획득부(322)는 사기 주소 그룹에 기초하여, 자금 세탁을 위해 사용되는 뮬 주소 그룹(mule cluster)에 대한 정보를 획득하는 단계(430)를 수행할 수 있다. 뮬 주소 그룹에 대한 정보를 획득하는 방법에 대해서는 도 5와 함께 보다 자세히 설명한다. 뮬 주소 그룹에 대한 정보는 뮬 주소 그룹에 포함된 주소의 거래이력 또는 주소를 포함할 수 있다. 또한 뮬 주소 그룹에 대한 정보는 레이블 정보를 포함할 수 있다. 예를 들어 레이블 정보는 '뮬'을 나타낼 수 있다.

사기주소검출장치(100)는 주소 그룹 정보 획득부(330)를 더 포함할 수 있다. 주소 그룹 정보 획득부(330)는 서비스 주소 그룹에 대한 정보를 획득할 수 있다. 서비스 주소는 암호화폐의 거래소의 주소를 의미할 수 있다. 주소 그룹 정보 획득부(330)는 예를 들어 "walletExplorer.com"에서 서비스 주소 그룹에 대한 정보를 획득할 수 있다.

*사기주소검출장치(100)의 특징 추출부(340)는 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보 중 적어도 하나에 기초하여 양호 주소들 또는 사기 주소 그룹에 포함된 주소들 각각에 대응되는 특징 정보를 획득하는 단계(440)를 수행할 수 있다. 특징 정보는 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보에 포함된 거래 이력에 기초하여 획득될 수 있다. 특징 정보에 대해서는 도 8과 함께 보다 자세히 설명한다.

사기주소검출장치(100)의 모델 학습부(350)는 주소들 각각에 대응되는 특징 정보 및 주소들 각각에 대응되는 레이블 정보를 기계학습하여 기계학습모델(360)을 생성하는 단계(450)를 수행할 수 있다.

사기주소검출장치(100)는 학습된 기계학습모델(360)을 메모리에 저장할 수 있다. 또한 사기주소검출장치(100)는 기계학습모델(360)을 다른 사기주소검출장치(100)로 전송할 수 있다.

도 5는 본 개시의 일 실시예에 따라 뮬 주소 그룹에 대한 정보를 획득하는 방법을 나타낸 흐름도이다. 도 6 내지 도 8은 본 개시의 일 실시예에 따라 뮬 주소 그룹에 대한 정보를 획득하는 과정을 나타낸 흐름도이다.

사기주소검출장치(100)의 뮬 주소 그룹 획득부(322)는 사기 주소 그룹에 대한 정보(311)에 기초하여, 사기 주소 그룹에 포함된 제 1 사기 주소와 관련된 암호화폐의 흐름을 획득하는 단계(510)를 수행할 수 있다.

도 6을 참조하면, 사기주소검출장치(100)는 제 1 사기 주소(611)와 관련된 암호화폐의 흐름을 데이터베이스(310)로부터 획득할 수 있다. 사기주소검출장치(100)는 제 1 사기 주소(611)로부터 주소들(621, 622, 625 또는 626)로 암호화폐가 전송되는 흐름을 획득할 수 있다.

사기주소검출장치(100)는 제 1 사기 주소(611)에서 암호화폐가 전송되어 사기 주소 그룹 또는 사기 주소 그룹과 다른 사기 주소 그룹에 포함된 제 2 사기 주소로 도달하기까지 거치는 주소들의 모임을 뮬 주소 그룹으로 결정하는 단계(520)를 수행할 수 있다.

통계적으로 사기 주소는 사기주소와 뮬 주소를 통하여 암호화폐를 거래하는 경우가 많다. 또한 양호 주소는 양호 주소들끼리 암호화폐를 거래하는 경우가 압도적으로 많다. 따라서 사기주소검출장치(100)는 사기 주소들 사이에 포함되어 있는 중간 주소를 뮬 주소로 결정할 수 있다.

제 1 사기 주소(611)에서 암호화폐가 송신되어 중간 주소들을 거쳐 양호 주소들 중 하나에 도달하는 경우, 사기주소검출장치(100)는 중간 주소들을 뮬 주소로 결정하는 것을 유보할 수 있다. 즉, 사기주소검출장치(100)는 사기 주소 사이드들 사이의 거래에서 암호화폐를 나르는 역할을 하는 중간 주소들을 뮬 주소로 결정할 수 있고, 사기 주소와 양호 주소 사이의 거래에 포함된 중간 주소를 뮬 주소로 결정하는 것을 유보할 수 있다.

사기주소검출장치(100)는 제 1 사기 주소(611)로부터 사기 주소 그룹(630)에 포함된 주소들(631, 632, 633)로 암호화폐가 도달하기까지의 거래 이력을 추적할 수 있다. 사기 주소 그룹(630)은 제 1 사기 주소(611)가 포함된 사기 주소 그룹(630)일 수 있다. 하지만 이에 한정되는 것은 아니고 사기 주소 그룹(630)은 제 1 사기 주소(611)가 포함되지 않았지만 사기 주소 그룹으로 결정된 다른 사기 주소 그룹일 수 있다.

사기주소검출장치(100)는 제 1 사기 주소(611)로부터 사기 주소 그룹(630)에 포함된 주소들(631, 632, 633)로 암호화폐가 도달하기까지 거친 주소들(621, 622, 625, 626)을 뮬 주소들로써 획득할 수 있다. 또한 사기주소검출장치(100)는 사기 주소 그룹(630)에 포함된 제 1 사기 주소(611)외의 다른 사기주소(612)로부터 사기 주소 그룹에 포함된 주소들(631, 632, 633)로 암호화폐가 도달하기까지 거친 주소들(623, 624, 627, 628)을 뮬 주소들로써 획득할 수 있다. 사기주소검출장치(100)는 이러한 과정을 사기 주소 그룹(630)에 포함된 모든 주소들에 대하여 반복할 수 있다.

도 7을 참조하면, 위와 같은 과정을 반복하여 사기주소검출장치(100)는 주소들(621, 622, 623, 624, 625, 626, 627, 628)을 뮬 주소들로써 획득할 수 있다. 사기주소검출장치(100)는 주소들(621, 622, 623, 624, 625, 626, 627, 628)의 거래 이력에 기초하여 주소 그룹을 구분할 수 있다. 예를 들어 제 1 주소 그룹(621, 622, 623, 625, 626) 및 제 2 주소 그룹(624, 627, 628)은 서로 거래된 이력이 없을 수 있다. 사기주소검출장치(100)는 제 1 주소 그룹 및 제 2 주소 그룹을 서로 다른 그룹으로 묶을 수 있다. 사기주소검출장치(100)는 제 1 주소 그룹을 제 1 뮬 주소 그룹으로 결정하고, 제 2 주소 그룹을 제 2 뮬 주소 그룹으로 결정할 수 있다.

도 8을 참조하면, 사기주소검출장치(100)는 제 1 뮬 주소 그룹(810)에 포함된 주소들(621, 622, 623, 625, 626)에 대한 정보에 기초하여 동일 사용자가 소유하고 있는 주소(811)를 추가적으로 검출할 수 있다. 예를 들어, 사기주소검출장치(100)는 암호화폐 주소의 그룹화를 위하여 거래의 송신주소로 사용되는 암호화폐 주소에 대응하는 프라이빗 키(private key)의 소유 여부로 송신 주소의 집합을 그룹화하는 멀티 입력 휴리스틱 알고리즘이 사용될 수 있다. 또는 사기주소검출장치(100)는 송금 후 잔액을 돌려받는 주소를 이용하여 동일 소유주로 추정되는 복수개의 주소를 그룹화하는 주소변경 휴리스틱 알고리즘을 사용할 수 있다. 또한 사기주소검출장치(100)는 그 외에도 사용자가 정의한 휴리스틱 알고리즘을 사용할 수 있다. 또한 사기주소검출장치(100)는 사용자 명령에 의해 주소 필터링 및/또는 주소 그룹화가 이루어질 수도 있다.

사기주소검출장치(100)는 제 2 뮬 주소 그룹(820)에 포함된 주소들(624, 627, 628)에 대한 정보에 기초하여 동일 사용자가 소유하고 있는 주소들(821, 822)을 추가적으로 검출할 수 있다.

도 9는 본 개시의 일 실시예에 따라 특징 정보를 획득하는 과정을 설명하기 위한 도면이다.

사기주소검출장치(100)는 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보 중 적어도 하나에 기초하여 양호 주소들 또는 사기 주소 그룹에 포함된 주소들 각각에 대응되는 특징 정보를 획득하는 단계(440)를 수행할 수 있다. 사기주소검출장치(100)는 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보 중 적어도 하나에 기초하여 목표 주소(930)의 거래 이력을 획득할 수 있다. 목표 주소(930)는 ADDR4일 수 있다.

도 9를 참조하면 라인(931)을 중심으로 왼쪽은 목표 주소(930)가 암호화폐를 수신한 거래이력이며, 오른쪽은 목표 주소(930)가 암호화폐를 송신한 거래이력일 수 있다.

도 9에서 설명의 편의를 위하여 암호화폐의 단위는 BTC를 사용하였다. 이는 암호화폐의 한 종류인 비트코인의 단위일 수 있다. 하지만 본 개시는 비트코인에 한정되는 것은 아니며 다른 암호화폐에도 동일한 설명이 적용될 수 있다.

목표 주소(930)는 거래 A(921)에 의하여 서비스 주소인 ADDR1(911)로부터 2BTC의 암호화폐를 수신할 수 있다. 여기서 서비스 주소는 거래소의 주소를 의미할 수 있다.

목표 주소(930)는 거래 B(922)에 의하여 목표 주소(930)와 동일한 소유자의 주소인 ADDR2(912)로부터 5BTC의 암호화폐를 수신할 수 있다. 동시에 목표 주소(930)는 거래 B(922)에 의하여 뮬 주소인 ADDR3(913)으로부터 3BTC의 암호화폐를 수신할 수 있다. 즉 목표 주소(930)는 거래 B(922)에 의하여 8BTC 만큼의 암호화폐를 수신할 수 있다.

목표 주소(930)는 거래 C(941)에 의하여 뮬 주소인 ADDR5(951)로 2BTC의 암호화폐를 송신할 수 있다.

목표 주소(930)는 거래 D(942)에 의하여 서비스 주소인 ADDR6(952)로 2BTC의 암호화폐를 송신할 수 있다. 동시에 목표 주소(930)는 거래 D(942)에 의하여 특정되지 않은 주소인 ADDR7(953)로 6BTC의 암호화폐를 송신할 수 있다. 특정되지 않은 주소는 사기주소검출장치(100)에 의하여 양호 주소들, 사기 주소 그룹, 뮬 주소 그룹 또는 서비스 주소 그룹으로 결정되지 않은 주소일 수 있다. 목표 주소(930)는 거래 D(942)에 의하여 8BTC 만큼의 암호화폐를 송신할 수 있다.

사기주소검출장치(100)는 제 1 특징 정보를 포함하는 특징 정보를 획득할 수 있다.

사기주소검출장치(100)는 양호 주소들에 대한 정보, 사기 주소 그룹에 대한 정보 및 뮬 주소 그룹에 대한 정보에 기초하여, 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소(930)의 최초 거래부터 최후 거래까지의 시간을 나타내는 제 1 특징 정보를 획득하는 단계를 수행할 수 있다.

예를 들어 사기주소검출장치(100)는 목표 주소(930)에 대한 정보에 기초하여 거래 A(921), 거래 B(922), 거래 C(941) 및 거래 D(942)와 같은 거래 이력을 획득할 수 있다. 거래 A(921)는 2019년2월1일에 이루어졌고, 거래 B(922)는 2019년3월1일에 이루어졌고, 거래 C(941)는 2019년5월1일에 이루어졌고, 거래 D(942)는 2019년4월1일에 이루어질 수 있다. 사기주소검출장치(100)는 목표 주소(930)의 최초 거래를 거래 A(921)로 결정하 수 있다. 또한 사기주소검출장치(100)는 목표 주소(930)의 최후 거래를 거래 C(941)로 결정할 수 있다. 또한 사기주소검출장치(100)는 최초 거래부터 최후 거래까지의 시간을 89일로 결정할 수 있다. 사기주소검출장치(100)는 89일을 나타내는 정보를 목표 주소(930)의 제 1 특징 정보로 획득할 수 있다.

사기 주소들의 제 1 특징 정보는 양호 주소들의 제 1 특징보다 짧은 경향이 있다. 따라서 사기주소검출장치(100)는 제 1 특징 정보에 기초하여 새로운 주소가 사기 주소인지 여부를 결정할 수 있다.

사기주소검출장치(100)는 제 2 특징 정보를 포함하는 특징 정보를 획득할 수 있다.

사기주소검출장치(100)는 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소의 암호화폐 수신 후 암호화폐 송신까지 걸리는 시간의 평균을 나타내는 제 2 특징 정보를 획득하는 단계를 수행할 수 있다.

예를 들어, 목표 주소(930)가 거래 A(921)로부터 수신한 2BTC은 거래 C(941)에 의하여 목표 주소(930)로부터 송신될 수 있다. 거래 A(921)와 거래 C(941) 사이의 시간은 89일일 수 있다. 또한 목표 주소(930)가 거래 B(922)로부터 수신한 8BTC은 거래 D(942)에 의하여 목표 주소(930)로부터 송신될 수 있다. 거래 B(922)와 거래 D(942) 사이의 시간은 31일일 수 있다. 따라서 목표 주소의 암호화폐 수신 후 암호화폐 송신까지 걸리는 시간의 평균은 (31+89)/2=60일 일 수 있다. 사기주소검출장치(100)는 60일을 나타내는 정보를 목표 주소(930)의 제 2 특징 정보로 획득할 수 있다.

사기 주소들의 제 2 특징 정보는 양호 주소들의 제 2 특징보다 짧은 경향이 있다. 따라서 사기주소검출장치(100)는 제 2 특징 정보에 기초하여 새로운 주소가 사기 주소인지 여부를 결정할 수 있다.

사기주소검출장치(100)는 제 3 특징 정보를 포함하는 특징 정보를 획득할 수 있다.

사기주소검출장치(100)는 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소(930)가 암호화폐를 수신하는 제 1 거래들(921 및 922)의 개수 당 제 1 거래들에서 암호화폐를 송금하는 출발지 주소들(911, 912, 913)의 개수를 나타내는 제 1 주소 개수 정보를 획득 하는 단계를 수행할 수 있다.

예를 들어, 목표 주소(930)는 거래 A(921) 및 거래 B(922)와 같은 2개의 거래에 의하여 암호화폐를 수신할 수 있다. 거래 A(921)에서 암호화폐를 송신하는 출발지 주소는 ADDR1(911)일 수 있다. 또한 거래 B(922)에서 암호화폐를 송신하는 출발지 주소들은 ADDR2(912) 및 ADDR3(913)일 수 있다. 목표 주소(930)가 암호화폐를 수신하는 거래의 개수는 2개이고, 출발지 주소들은 3개일 수 있다. 따라서 사기주소검출장치(100)는 제 1 주소 개수 정보를 3/2=1.5로 결정할 수 있다.

사기주소검출장치(100)는 제 1 거래들의 개수 당 제 1 거래들에서 암호화폐를 수신하는 목적지 주소들의 개수를 나타내는 제 2 주소 개수 정보를 획득 하는 단계를 수행할 수 있다.

예를 들어, 목표 주소(930)는 거래 A(921) 및 거래 B(922)와 같은 2개의 거래에 의하여 암호화폐를 수신할 수 있다. 거래 A(921)에서 암호화폐를 수신하는 목적지 주소는 목표 주소(930)일 수 있다. 또한 거래 B(922)에서 암호화폐를 수신하는 목적지 주소는 목표 주소(930) 일 수 있다. 목표 주소(930)가 암호화폐를 수신하는 거래의 개수는 2개이고, 목적지 주소는 1개일 수 있다. 따라서 사기주소검출장치(100)는 제 2 주소 개수 정보를 1/2=0.5로 결정할 수 있다.

사기주소검출장치(100)는 목표 주소가 암호화폐를 송신하는 제 2 거래들의 개수 당 제 2 거래들에서 암호화폐를 송신하는 출발지 주소들의 개수를 나타내는 제 3 주소 개수 정보를 획득 하는 단계를 수행할 수 있다.

예를 들어, 목표 주소(930)는 거래 C(941) 및 거래 D(942)와 같은 2개의 거래에 의하여 암호화폐를 송신할 수 있다. 거래 C(941)에서 암호화폐를 송신하는 출발지 주소는 목표 주소(930)일 수 있다. 또한 거래 D(942)에서 암호화폐를 송신하는 출발지 주소는 목표 주소(930) 일 수 있다. 목표 주소(930)가 암호화폐를 송신하는 거래의 개수는 2개이고, 출발지 주소는 1개일 수 있다. 따라서 사기주소검출장치(100)는 제 3 주소 개수 정보를 1/2=0.5로 결정할 수 있다.

사기주소검출장치(100)는 제 2 거래들의 개수 당 제 2 거래들에서 암호화폐를 수신하는 목적지 주소들의 개수를 나타내는 제 4 주소 개수 정보를 획득 하는 단계를 수행할 수 있다.

예를 들어, 목표 주소(930)는 거래 C(941) 및 거래 D(942)와 같은 2개의 거래에 의하여 암호화폐를 송신할 수 있다. 거래 C(941)에서 암호화폐를 수신하는 목적지 주소는 ADDR5(951)일 수 있다. 또한 거래 D(942)에서 암호화폐를 수신하는 목적지 주소는 ADDR6(952) 및 ADDR7(953)일 수 있다. 목표 주소(930)가 암호화폐를 송신하는 거래의 개수는 2개이고, 목적지 주소는 3개일 수 있다. 따라서 사기주소검출장치(100)는 제 4 주소 개수 정보를 3/2=1.5로 결정할 수 있다.

사기주소검출장치(100)는 제 1 주소 개수 정보, 제 2 주소 개수 정보, 제 3 주소 개수 정보 및 제 4 주소 개수 정보를 제 3 특징 정보로 결정하는 단계를 수행할 수 있다.

사기 주소가 암호화폐를 수신하는 거래에서 목적지의 수는 소정의 개수 이하인 경우가 많다. 하지만 양호 주소는 주로 거래소에서 거래를 하므로 다대다의 거래인 경우가 많다. 따라서 양호 주소가 암호화폐를 수신하는 거래에서 목적지의 수는 소정의 개수 이상인 경우가 많다.

또한, 사기 주소가 암호화폐를 송신하는 거래에서 출발지의 수는 소정의 개수 이상인 경우가 양호 주소에 대한 출발지의 수보다 많다. 이는, 사기 주소를 소유한 사람들은 많은 암호화폐 주소를 운영하기 때문일 수 있다.

사기주소검출장치(100)는 제 4 특징 정보를 포함하는 특징 정보를 획득할 수 있다.

사기주소검출장치(100)는 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소(930)가 암호화폐를 수신한 전체 암호화폐에 대하여, 목표 주소(930)가 포함된 주소 그룹으로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 1 비율 정보를 획득하는 단계를 수행할 수 있다.

양호주소들은 소유자의 구분 없이 하나의 그룹이 될 수 있다. 양호 주소들 전체를 하나의 양호 주소 그룹이라고 할 수 있다. 하지만 이에 한정되는 것은 아니며 양호주소들은 소유자별로 그룹화될 수 있다. 소유자 별로 그룹화된 양호 주소들을 양호 주소 그룹이라고 할 수 있다.

양호 주소 그룹, 사기 주소 그룹, 뮬 주소 그룹은 각각 복수의 주소 그룹을 포함할 수 있다. 목표 주소(930)가 제 1 사기 주소 그룹에 속해 있다면, 사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 수신한 전체 암호화폐에 대하여 제 1 사기 주소 그룹에 속해 있는 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 제 1 비율 정보로 획득할 수 있다. 제 1 비율은 퍼센트, 분수 또는 실수로 나타낼 수 있다.

목표 주소(930)가 암호화폐를 직접 수신한 것은 중간에 다른 주소를 거치지 않고 목표 주소(930)가 출발지 주소로부터 직접 암호화폐를 수신한 것을 의미한다. 또한 목표 주소(930)가 단 하나의 거래를 통하여 암호화폐를 수신한 것을 의미한다. 도 9를 참조하면, 목표 주소(930)는 거래 A(921)를 통하여 ADDR1(911)로부터 암호화폐를 수신한다. 또한 목표 주소(930)는 거래 B(922)를 통하여 ADDR2(912)로부터 암호화폐를 수신한다. 또한 목표 주소(930)는 거래 B(922)를 통하여 ADDR3(913)로부터 암호화폐를 수신한다. 따라서, 도 9에서 목표 주소(930)가 암호화폐를 직접 수신한 출발지 주소는 ADDR1(911), ADDR2(912) 및 ADDR3(913)일 수 있다.

도 9를 참조하면 목표 주소(930)가 수신한 전체 암호화폐는 10BTC일 수 있다. 목표 주소(930)가 포함된 주소 그룹의 다른 주소인 ADDR2(912)로부터 직접 수신한 암호화폐가 5BTC인 경우, 제 1 비율 정보는 50%가 될 수 있다.

사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 수신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 2 비율 정보를 획득하는 단계를 수행할 수 있다. 암호화폐 거래 서비스는 암호화폐 거래소를 의미할 수 있다.

예를 들어, 도 9를 참조하면, 목표 주소(930)가 수신한 전체 암호화폐가 10BTC일 수 있다. 목표 주소(930)가 암호화폐 거래 서비스의 주소인 ADDR1(911)로부터 직접 수신한 암호화폐가 2BTC인 경우, 제 1 비율 정보는 20%가 될 수 있다.

사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 수신한 전체 암호화폐에 대하여, 사기 주소 그룹에 포함된 제 1 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 3 비율 정보를 획득하는 단계를 수행할 수 있다.

목표 주소(930)가 사기 주소 그룹에 포함되는 경우, 제 3 비율 정보에는 제 1 비율정보가 포함될 수 있다. 따라서 사기주소검출장치(100)는 제 3 비율 정보를 획득할 때, 목표 주소(930)가 사기 주소 그룹에 포함되는 경우, 목표 주소(930)가 포함된 사기 주소 그룹과 다른 사기 주소 그룹에 포함된 제 1 주소로부터 직접 수신된 암호화폐의 크기에 기초하여 제 3 비율 정보로 획득할 수 있다. 하지만 이에 한정되는 것은 아니다. 목표 주소(930)가 사기 주소 그룹에 포함되는 경우, 사기주소검출장치(100)는 목표 주소(930)가 포함된 사기 주소 그룹 내의 제 1 주소로부터 직접 수신된 암호화폐의 크기에 기초하여 제 3 비율 정보를 획득할 수 있다.

사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 수신한 전체 암호화폐에 대하여, 뮬 주소 그룹에 포함된 제 2 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 4 비율 정보를 획득하는 단계를 수행할 수 있다.

예를 들어, 도 9를 참조하면, 목표 주소(930)가 수신한 전체 암호화폐가 10BTC일 수 있다. 목표 주소(930)가 뮬 주소 그룹에 포함된 제 2 주소인 ADDR3(913)으로부터 직접 수신한 암호화폐가 3BTC인 경우, 제 1 비율 정보는 30%가 될 수 있다.

사기주소검출장치(100)는 제 1 비율 정보, 제 2 비율 정보, 제 3 비율 정보 및 제 4 비율 정보를 제 4 특징 정보로 결정하는 단계를 수행할 수 있다.

사기주소검출장치(100)는 제 5 특징 정보를 포함하는 특징 정보를 획득할 수 있다.

사기주소검출장치(100)는 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐에 대하여, 목표 주소(930)가 포함된 주소 그룹으로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 5 비율 정보를 획득하는 단계를 수행할 수 있다.

목표 주소(930)가 암호화폐를 직접 송신한 것은 중간에 다른 주소를 거치지 않고 목표 주소(930)가 목적지 주소로 직접 암호화폐를 송신한 것을 의미한다. 또한 목표 주소(930)가 단 하나의 거래를 통하여 암호화폐를 송신한 것을 의미한다. 도 9를 참조하면, 목표 주소(930)는 거래 C(941)를 통하여 ADDR5(951)로 암호화폐를 송신한다. 또한 목표 주소(930)는 거래 D(942)를 통하여 ADDR6(952)로 암호화폐를 송신한다. 또한 목표 주소(930)는 거래 D(942)를 통하여 ADDR7(953)로 암호화폐를 송신한다. 따라서, 도 9에서 목표 주소(930)가 암호화폐를 직접 송신한 목적지 주소는 ADDR5(951), ADDR6(952) 및 ADDR7(953)일 수 있다.

사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 6 비율 정보를 획득하는 단계를 수행할 수 있다.

예를 들어 도 9를 참조하면, 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐의 크기는 10BTC일 수 있다. 또한 암호화폐 거래 서비스의 주소인 ADDR6(952)로 직접 송신된 암호화폐의 크기는 2BTC일 수 있다. 따라서 사기주소검출장치(100)는 20%를 제 6 비율 정보로써 획득할 수 있다.

사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐에 대하여, 사기 주소 그룹에 포함된 제 1 주소로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 7 비율 정보를 획득하는 단계를 수행할 수 있다.

도 9를 참조하면 목표 주소(930)가 거래 D(942) 및 거래 E(960)를 통하여 암호화폐를 사기 주소인 ADDR9(972)로 암호화폐를 송신하였다. 하지만 2개 이상의 거래를 이용하여 목표 주소(930)가 사기 주소인 ADDR9(972)로 암호화폐를 송신하였으므로, 사기주소검출장치(100)는 목표 주소(930)가 사기 주소로 직접 송신하지 않은 것으로 결정할 수 있다.

사기주소검출장치(100)는 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 뮬 주소 그룹에 포함된 제 2 주소로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 8 비율 정보를 획득하는 단계를 수행할 수 있다.

예를 들어 도 9를 참조하면, 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐의 크기는 10BTC일 수 있다. 또한 뮬 주소 그룹에 포함되는 주소인 ADDR5(951)로 직접 송신된 암호화폐의 크기는 2BTC일 수 있다. 따라서 사기주소검출장치(100)는 20%를 제 8 비율 정보로써 획득할 수 있다.

사기주소검출장치(100)는 제 5 비율 정보, 제 6 비율 정보, 제 7 비율 정보 및 제 8 비율 정보를 제 5 특징 정보로 결정하는 단계를 수행할 수 있다.

사기주소검출장치(100)는 제 6 특징 정보를 포함하는 특징 정보를 획득할 수 있다.

사기주소검출장치(100)는 양호 주소들 또는 사기 주소 그룹에 포함된 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 9 비율 정보를 획득하는 단계를 수행할 수 있다.

암호화폐의 간접 송수신은 출발지 주소로부터 송신된 암호화폐가 2 이상의 거래에 의하여 목적지 주소에 도달하는 것을 의미한다. 예를 들어 도 9를 참조하면 목표 주소(930)로부터 ADDR8(971) 또는 ADDR9(972)로 암호화폐가 전송되기 위해서는 거래 D(942) 및 거래 E(960)를 거칠 수 있다. 사기주소검출장치(100)는 목표 주소(930)가 ADDR8(971) 또는 ADDR9(972)로 암호화폐를 간접 송신한 것으로 결정할 수 있다.

간접 송수신이 있었는지 여부를 결정하기 위하여 복수의 주소의 거래 이력을 확인해야 하므로 사기주소검출장치(100)의 프로세싱 능력이 크게 요구될 수 있다. 사기주소검출장치(100)는 소정의 횟수의 거래 내에서 주소들 간에 암호화폐의 간접 송수신이 있는지 결정할 수 있다. 사기주소검출장치(100)가 소정의 횟수의 거래 내에서 간접 송수신이 있는지 결정함으로써, 사기주소검출장치(100)는 간접거래를 확인하기 위해 프로세싱 능력이 크게 소모되는 것을 방지할 수 있다. 예를 들어 사기주소검출장치(100)는 목표 주소(930)가 암호화폐를 송신하고, 10회 이하의 거래 내에서 암호화폐 거래 서비스로 간접 송신이 있는지 여부를 결정할 수 있다.

예를 들어, 도 9를 참조하면, 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐의 크기는 10BTC일 수 있다. 목표 주소(930)는 거래 D(942) 및 거래 E(960)를 거쳐 암호화폐 거래 서비스의 주소인 ADDR8(971)로 2BTC를 간접 전송할 수 있다. 사기주소검출장치(100)는 제 9 비율 정보를 20%로 결정할 수 있다.

사기주소검출장치(100)는 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 사기 주소 그룹에 포함된 제 1 주소로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 10 비율 정보를 획득하는 단계를 수행할 수 있다.

예를 들어, 도 9를 참조하면, 목표 주소(930)가 암호화폐를 송신한 전체 암호화폐의 크기는 10BTC일 수 있다. 목표 주소(930)는 거래 D(942) 및 거래 E(960)를 거쳐 사기 주소 그룹에 포함된 제 1 주소인 ADDR9(972)로 4BTC를 간접 전송할 수 있다. 사기주소검출장치(100)는 제 10 비율 정보를 40%로 결정할 수 있다.

사기주소검출장치(100)는 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 뮬 주소 그룹에 포함된 제 2 주소로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 11 비율 정보를 획득하는 단계를 수행할 수 있다.

사기주소검출장치(100)는 제 9 비율 정보, 제 10 비율 정보 및 제 11 비율 정보를 제 6 특징 정보로 결정하는 단계를 수행할 수 있다.

이상과 같이 사기주소검출장치(100)가 제 1 특징 정보 내지 제 6 특징 정보를 획득할 수 있다. 사기주소검출장치(100)는 제 1 특징 정보 내지 제 6 특징 정보에 기초하여 기계학습모델을 생성하는 단계(450)를 수행할 수 있다.

도 10 은 본 개시의 일 실시예에 따른 사기주소검출장치(100)의 동작을 나타내는 블록도이다.

사기주소검출장치(100)는 데이터베이스(310) 및 특징 추출부(340)로부터 주소의 레이블 정보(1011) 및 특징 정보(1012)를 획득할 수 있다. 주소의 레이블 정보(1011)는 '양호' 또는 '사기'를 나타낼 수 있다. 특징 정보(1012)는 제 1 특징 정보 내지 제 6 특징 정보 중 적어도 하나일 수 있다.

사기주소검출장치(100)는 주소의 레이블 정보(1011) 및 특징 정보(1012)에 기초하여 기계학습모델(360)을 획득할 수 있다. 사기주소검출장치(100)는 기계학습모델(360)을 메모리에 저장하여 추후에 사용할 수 있다. 또한 사기주소검출장치(100)는 다른 사기주소검출장치로 기계학습모델(360)을 송신할 수 있다.

사기주소검출장치(100)는 새로운 암호화폐 주소를 획득하는 단계를 수행할 수 있다. 사기주소검출장치(100)는 새로운 암호화폐 주소에 대한 새로운 특징 정보를 획득하는 단계를 수행할 수 있다. 사기주소검출장치(100)는 새로운 특징 정보를 미리 획득된 기계학습모델(360)에 적용하여 새로운 암호화폐 주소가 사기 주소인지 여부를 판단하는 단계를 수행할 수 있다. 또한 사기주소검출장치(100)는 사기 주소 여부를 나타내는 결과 정보(1070)를 출력할 수 있다.

사기주소검출장치(100)는 기계학습모델 또는 사기 주소 그룹에 기초하여 새로운 암호화폐 주소의 위험도에 대한 정보를 출력할 수 있다.

예를 들어, 사기주소검출장치(100)는 새로운 암호화폐 주소가, 사기 주소 그룹에 포함된 경우 새로운 암호화폐 주소의 사기 위험도를 5로 결정하는 단계를 수행할 수 있다. 위험도가 5라는 것은 가장 위험함을 의미할 수 있다. 또한 위험도는 1까지 줄어들 수 있으며, 위험도가 1이라는 것은 위험도가 낮음을 의미할 수 있다. 위험도가 0이라는 것은 위험도를 판단할 수 없음을 나타낼 수 있다. 본 개시에서는 위험도를 0 내지 5로 표시하였으나 다른 문자나 숫자로 위험함을 나타낼 수 있다.

사기주소검출장치(100)는 새로운 암호화폐 주소가, 사기 주소 그룹에 포함된 제 1 주소와 직접적으로 암호화폐를 거래한 경우, 새로운 암호화폐 주소의 사기 위험도를 4로 결정하는 단계를 수행할 수 있다. 제 1 주소와 직접적으로 암호화폐를 거래한 것은, 한 번의 거래로 제 1 주소가 새로운 암호화폐 주소로 암호화폐를 송신하거나, 제 1 주소가 새로운 암호화폐 주소로부터 암호화폐를 수신하는 것을 의미한다.

사기주소검출장치(100)는 새로운 암호화폐 주소가, 사기 주소 그룹에 포함된 제 1 주소와 간접적으로 암호화폐를 거래한 경우, 새로운 암호화폐 주소의 사기 위험도를 3으로 결정하는 단계를 수행할 수 있다. 새로운 암호화폐 주소가 제 1 주소와 간접적으로 암호화폐를 거래한 것은, 제 1 주소가 1개 이상의 주소를 통하여 새로운 암호화폐 주소로 암호화폐를 송신하거나, 제 1 주소가 1개 이상의 주소를 통하여 새로운 암호화폐 주소로부터 암호화폐를 수신하는 것을 의미한다.

간접 거래를 확인하기 위해서는 다양한 주소의 거래 이력을 확인해야 하므로 사기주소검출장치(100) 간접 거래를 확인하기 위하여 많은 처리 능력이 필요할 수 있다. 사기주소검출장치(100)는, 새로운 암호화폐 주소가 송신하거나 수신한 암호화폐가 소정의 횟수의 거래를 거치는 동안, 사기 주소 그룹에 포함되는 제 1 주소가 나타나는지 여부를 확인하여, 처리 능력이 많이 소모되는 것을 방지할 수 있다. 소정의 횟수는 사기주소검출장치(100)의 처리 능력에 기초하여 결정될 수 있다. 예를 들어, 소정의 횟수는 10회일 수 있다.

사기주소검출장치(100)는 기계학습모델에 기초하여 새로운 암호화폐 주소가 사기 주소인 것으로 판단된 경우, 새로운 암호화폐 주소의 사기 위험도를 2로 결정하는 단계를 수행할 수 있다. 기계학습모델에 따른 사기주소검출장치(100)의 결과는 '사기' 또는 '양호'로 나타날 수 있다. 사기주소검출장치(100)는 결과가 '사기' 인 경우, 위험도를 2로 결정할 수 있다. 사기주소검출장치(100)는 결과가 '양호' 인 경우, 다음 단계를 확인해볼 수 있다.

사기주소검출장치(100)는 새로운 암호화폐 주소가 거래이력이 없는 경우, 새로운 암호화폐 주소의 사기 위험도를 1로 결정하는 단계를 수행할 수 있다.

사기주소검출장치(100)는 위험도가 1 내지 5로 분류되지 않은 경우, 새로운 암호화폐 주소의 사기 위험도를 0으로 결정하는 단계를 수행할 수 있다. 위험도가 0이라는 것은 위험도를 결정할 수 없음을 나타낼 수 있다.

이제까지 다양한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같은 저장매체를 포함한다.

Claims (9)

1. 사기주소 검출 장치에서, 기계학습을 이용하여 암호화폐 사기 주소를 검출하기 위한 방법에 있어서,

   데이터베이스로부터 사기 거래를 위해 사용된 것으로 레이블된 사기 주소들(scam addresses)에 대한 정보 및 정상적인 거래를 위해 사용된 것으로 레이블된 양호 주소들(benign addresses)에 대한 정보를 획득하는 단계;

   상기 사기 주소들에 대한 정보에 기초하여, 동일한 사용자가 소유하고 있는 것으로 결정된 사기 주소 그룹에 대한 정보를 획득하는 단계;

   상기 사기 주소 그룹에 기초하여, 자금 세탁을 위해 사용되는 뮬(mule) 주소 그룹에 대한 정보를 획득하는 단계;

   상기 양호 주소들에 대한 정보, 상기 사기 주소 그룹에 대한 정보 또는 뮬 주소 그룹에 대한 정보 중 적어도 하나에 기초하여 상기 양호 주소들, 상기 사기 주소 그룹 또는 뮬 주소 그룹에 포함된 주소들 각각에 대응되는 특징 정보를 획득하는 단계; 및

   상기 주소들 각각에 대응되는 특징 정보 및 상기 주소들 각각에 대응되는 레이블 정보를 기계학습하여 기계학습모델을 생성하는 단계를 포함하며,

   상기 특징 정보를 획득하는 단계는,

   상기 양호 주소들에 대한 정보, 상기 사기 주소 그룹에 대한 정보 및 상기 뮬 주소 그룹에 대한 정보에 기초하여, 상기 양호 주소들 또는 상기 사기 주소 그룹에 포함된 목표 주소의 최초 거래부터 최후 거래까지의 시간을 나타내는 제 1 특징 정보를 획득하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
2. 제 1 항에 있어서,

   상기 뮬 주소 그룹에 대한 정보를 획득하는 단계는,

   상기 사기 주소 그룹에 대한 정보에 기초하여, 상기 사기 주소 그룹에 포함된 제 1 사기 주소와 관련된 암호화폐의 흐름을 획득하는 단계; 및

   상기 제 1 사기 주소에서 암호화폐가 전송되어 상기 사기 주소 그룹 또는 상기 사기 주소 그룹과 다른 사기 주소 그룹에 포함된 제 2 사기 주소로 도달하기까지 거치는 주소들의 모임을 뮬 주소 그룹으로 결정하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
3. 제 1 항에 있어서,

   상기 특징 정보를 획득하는 단계는,

   상기 양호 주소들 또는 상기 사기 주소 그룹에 포함된 목표 주소의 암호화폐 수신 후 암호화폐 송신까지 걸리는 시간의 평균을 나타내는 제 2 특징 정보를 획득하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
4. 제 1 항에 있어서,

   상기 특징 정보를 획득하는 단계는,

   상기 양호 주소들 또는 상기 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 수신하는 제 1 거래들의 개수 당 상기 제 1 거래들에서 암호화폐를 송금하는 출발지 주소들의 개수를 나타내는 제 1 주소 개수 정보를 획득 하는 단계;

   상기 제 1 거래들의 개수 당 상기 제 1 거래들에서 암호화폐를 수신하는 목적지 주소들의 개수를 나타내는 제 2 주소 개수 정보를 획득 하는 단계;

   상기 목표 주소가 암호화폐를 송신하는 제 2 거래들의 개수 당 상기 제 2 거래들에서 암호화폐를 송금하는 출발지 주소들의 개수를 나타내는 제 3 주소 개수 정보를 획득 하는 단계;

   상기 제 2 거래들의 개수 당 상기 제 2 거래들에서 암호화폐를 수신하는 목적지 주소들의 개수를 나타내는 제 4 주소 개수 정보를 획득 하는 단계; 및

   상기 제 1 주소 개수 정보, 상기 제 2 주소 개수 정보, 상기 제 3 주소 개수 정보 및 상기 제 4 주소 개수 정보를 제 3 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
5. 제 1 항에 있어서,

   상기 특징 정보를 획득하는 단계는,

   상기 양호 주소들 또는 상기 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 상기 목표 주소가 포함된 주소 그룹으로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 1 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 2 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 상기 사기 주소 그룹에 포함된 제 1 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 3 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 상기 뮬 주소 그룹에 포함된 제 2 주소로부터 암호화폐를 직접 수신한 암호화폐의 비율을 나타내는 제 4 비율 정보를 획득하는 단계; 및

   상기 제 1 비율 정보, 상기 제 2 비율 정보, 상기 제 3 비율 정보 및 상기 제 4 비율 정보를 제 4 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
6. 제 1 항에 있어서,

   상기 특징 정보를 획득하는 단계는,

   상기 양호 주소들 또는 상기 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 상기 목표 주소가 포함된 주소 그룹으로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 5 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 6 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 상기 사기 주소 그룹에 포함된 제 1 주소로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 7 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 상기 뮬 주소 그룹에 포함된 제 2 주소로 암호화폐를 직접 송신한 암호화폐의 비율을 나타내는 제 8 비율 정보를 획득하는 단계; 및

   상기 제 5 비율 정보, 상기 제 6 비율 정보, 상기 제 7 비율 정보 및 상기 제 8 비율 정보를 제 5 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
7. 제 1 항에 있어서,

   상기 특징 정보를 획득하는 단계는,

   상기 양호 주소들 또는 상기 사기 주소 그룹에 포함된 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 암호화폐 거래 서비스로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 9 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 송신한 전체 암호화폐에 대하여, 상기 사기 주소 그룹에 포함된 제 1 주소로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 10 비율 정보를 획득하는 단계;

   상기 목표 주소가 암호화폐를 수신한 전체 암호화폐에 대하여, 상기 뮬 주소 그룹에 포함된 제 2 주소로 암호화폐를 간접 송신한 암호화폐의 비율을 나타내는 제 11 비율 정보를 획득하는 단계; 및

   상기 제 9 비율 정보, 상기 제 10 비율 정보 및 상기 제 11 비율 정보를 제 6 특징 정보로 결정하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
8. 제 1 항에 있어서,

   새로운 암호화폐 주소를 획득하는 단계;

   상기 새로운 암호화폐 주소에 대한 새로운 특징 정보를 획득하는 단계;

   상기 새로운 특징 정보를 상기 기계학습모델에 적용하여 상기 새로운 암호화폐 주소가 사기 주소인지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.
9. 제 8 항에 있어서,

   상기 새로운 암호화폐 주소가, 상기 사기 주소 그룹에 포함된 경우 상기 새로운 암호화폐 주소의 사기 위험도를 5로 결정하는 단계;

   상기 새로운 암호화폐 주소가, 상기 사기 주소 그룹에 포함된 제 1 주소와 직접적으로 암호화폐를 거래한 경우, 새로운 암호화폐 주소의 사기 위험도를 4로 결정하는 단계;

   상기 새로운 암호화폐 주소가, 상기 사기 주소 그룹에 포함된 제 1 주소와 간접적으로 암호화폐를 거래한 경우, 새로운 암호화폐 주소의 사기 위험도를 3으로 결정하는 단계;

   상기 기계학습모델에 기초하여 상기 새로운 암호화폐 주소가 사기 주소인 것으로 판단된 경우, 새로운 암호화폐 주소의 사기 위험도를 2로 결정하는 단계;

   상기 새로운 암호화폐 주소가 거래이력이 없는 경우, 새로운 암호화폐 주소의 사기 위험도를 1로 결정하는 단계; 및

   위험도가 1 내지 5로 분류되지 않은 경우, 새로운 암호화폐 주소의 사기 위험도를 0으로 결정하는 단계를 포함하는 것을 특징으로 하는 사기 주소 검출 방법.

Images