텔레그램에서 거래되는 인증 우회 도구…금융권 ‘비상’

텔레그램을 중심으로 KYC 인증을 우회하는 해킹 도구가 확산되면서, 사기 조직이 이를 이용해 대포 계좌를 개설하고 자금을 세탁하는 사례가 급증하고 있다.

캄보디아의 한 자금 세탁 조직 사무실. 직원 한 명이 스마트폰으로 베트남에서 널리 쓰이는 은행 앱을 실행한다. 계정과 연결된 사진을 업로드하라는 요청이 뜨자 그는 30대 아시아 남성의 사진을 선택한다.

이어 앱은 얼굴 인식을 위해 카메라를 켜라고 요구한다. 사기범은 계정 주인과 전혀 닮지 않은 여성의 이미지를 화면에 들이민다. 화면 안에 얼굴을 맞추라는 안내가 이어지는 가운데 약 90초가 지나자 인증은 그대로 통과된다.

이 장면은 사이버 보안 연구자 히에우 민 응오(Hieu Minh Ngo)가 필자에게 공유한 영상에 담긴 실제 해킹 시연이다. 그는 “최근 텔레그램에서 손쉽게 구매할 수 있는 불법 해킹 서비스 덕분에 이런 수법이 가능해졌다”며 “이 도구들은 ‘고객 확인 제도(KYC)’의 얼굴 인식 시스템을 무력화하도록 설계돼 있다”고 설명했다.

은행과 암호화폐 서비스에서 사용하는 이러한 보안 절차는 계정이 실제 인물의 것인지 확인하고, 사용자의 얼굴이 등록된 신분증 정보와 일치하는지를 검증하기 위한 것이다. 그러나 사기범들은 이를 우회해 이른바 ‘대포 계좌’를 개설하고 자금을 세탁하고 있다. 이들은 실제 카메라 영상을 요구하는 ‘라이브니스(liveness)’ 검사를 속이기 위해 ‘가상 카메라’를 사용한다. 가상 카메라는 실제 인물이나 딥페이크 영상은 물론, 심지어 사물 이미지까지도 실시간 영상처럼 입력할 수 있다.

금융기관들이 보안 수준을 끌어올리는 사이 이를 무력화하려는 기술도 빠르게 진화하고 있다. 범죄 조직과 금융업계 사이의 ‘창과 방패’ 싸움이 한층 치열해지는 양상이다.

올해 초 두 달에 걸친 조사에서 MIT 테크놀로지 리뷰는 KYC 우회 도구와 도난당한 생체 정보를 광고하는 텔레그램 공개 채널과 그룹 22곳을 확인했다. 이들은 중국어, 베트남어, 영어로 운영됐으며 스마트폰 운영체제와 은행 앱을 침해하는 다양한 소프트웨어 키트를 판매하고 있었다. 바이낸스(Binance) 같은 주요 암호화폐 거래소부터 스페인의 BBVA에 이르기까지 금융기관의 인증 절차를 우회할 수 있다고 노골적으로 홍보하고 있었다.

캄보디아 자금 세탁 조직이 사용한 프로그램의 텔레그램 소개 문구에는 “은행 서비스 전문, 불법 자금 처리”라는 설명과 함께 엄지손가락 이모지가 붙어 있었다. 이어 “안전. 전문. 고품질”이라는 문구도 덧붙였다. 일부는 수천 명의 구독자를 확보하고 있었고 “각종 KYC 인증 서비스 제공”, “완벽하고 매끄러운 결과 보장” 같은 문구와 함께 해킹 성공 사례로 보이는 영상까지 게시하고 있었다.

텔레그램 측은 “해당 계정들을 검토한 뒤 서비스 약관 위반을 이유로 삭제했다”고 밝혔다. 그러나 이러한 형태의 불법 시장은 여전히 확산되고 있으며 유사한 도구를 거래하는 채널과 그룹이 계속해서 새로 생겨나고 있다.

은행과 도살장

KYC 우회 수법의 확산은 피해자와 장기간 신뢰를 쌓은 뒤 투자금 등을 한 번에 빼앗는 이른바 ‘돼지 도살’형 사이버 사기 산업의 성장과 맞물려 있다. 전 세계 은행과 암호화폐 플랫폼은 사기 수익이 자사 시스템을 거쳐 세탁되는 문제로 점점 더 강한 규제와 감시에 직면하고 있다. 이에 따라 베트남과 태국 등에서는 고객 신원 확인과 사기 모니터링 요건이 강화되고, 암호화폐 산업 전반에 대한 감독 역시 한층 엄격해지고 있다.

미국 블록체인 분석 기업 체이널리시스(Chainalysis)에 따르면 2025년 암호화폐 사기와 범죄로 인한 피해 규모는 약 170억 달러로, 2024년 130억 달러에서 크게 증가했다. 유엔 마약범죄사무소(The United Nations Office on Drugs and Crime) 역시 최근 보고서에서 “아시아 기반 사기 조직이 아프리카와 태평양 지역으로 확장되면서 이 산업의 수익이 급격히 증가하고 있다”고 경고했다.

감시는 강화되고 있지만 수익은 오히려 늘어나면서 KYC 우회 기술은 사이버 사기와 도박 자금 세탁 시장의 핵심 수단으로 자리 잡고 있다. 정확한 규모를 파악하기는 어렵지만 관련 공격은 빠르게 증가하는 추세다. 생체 인증 기업 아이프루프(iProov)는 2024년 가상 카메라 기반 공격이 전년 대비 25배 이상 늘었다고 분석했고, KYC 솔루션 기업 섬섭(Sumsub) 역시 다단계 방식의 고도화된 사기 시도가 자사 고객 기준으로 지난해 세 배 가까이 늘었다고 밝혔다.

텔레그램 채널에서 주요 표적으로 언급된 금융기관 가운데 바이낸스와 BBVA, 영국의 리볼루트(Revolut)는 이러한 우회 시도를 인지하고 있으며, 업계 전반이 직면한 문제라는 데 입을 모았다. 바이낸스 측은 “이 같은 시도를 포착해 보안 체계를 통해 대부분 차단하고 있다”며 “시스템의 안전성에 자신이 있다”고 밝혔다. BBVA와 리볼루트는 자사 보안 체계가 실제로 침해된 사례가 있는지에 대해서는 언급을 피했다.

이러한 KYC 우회 공격은 실제 성공률을 가늠하기가 쉽지 않다. 기업들이 공격을 뒤늦게 인지하거나, 인지하더라도 외부에 공개되지 않는 경우가 많기 때문이다. 아르템 포포프(Artem Popov) 섬섭 사기 방지 제품 총괄은 “중요한 것은 우리가 보지 못하는 영역”이라며 “KYC 제공업체를 포함해 어떤 기업이든 완전히 파악하지 못하는 사각지대는 항상 존재한다”고 말했다.

범죄자들의 우회 수법

겉으로 보기에는 단순해 보이지만 실제 KYC 우회는 여러 기법이 결합된 복잡한 과정을 거친다. 일부 채널은 스마트폰을 탈옥해 필요할 때마다 기본 카메라 대신 가상 카메라를 실행할 수 있도록 해주고, 또 금융기관 앱에 ‘후킹 프레임워크(hooking framework)’라 불리는 코드를 삽입하기도 한다. 이는 앱의 동작을 중간에서 가로채 특정 기능을 변조하는 기술로, 가상 카메라가 실행되도록 유도해 인증 과정을 속이는 데 쓰인다. 어떤 방식이든 실제 계정 소유자의 실시간 영상 대신 조작된 이미지나 영상이 입력되면서 KYC 인증 절차는 무력화된다.

금융기관을 주요 고객으로 둔 사이버보안 기업 탈섹(Talsec)의 세르기 야킴추크(Sergiy Yakymchuk) 최고경영자(CEO)는 “MIT 테크놀로지 리뷰가 확인한 텔레그램 채널의 수법을 검토한 결과, 자사의 은행 및 암호화폐 고객을 겨냥해 실제로 사용된 공격 방식과 일치한다”고 말했다. 그는 “지난 1년 동안 은행과 거래소로부터 가상 카메라 기반 해킹과 관련해 약 30건의 지원 요청을 받았는데, 이는 2023년 10건 미만과 비교해 크게 늘어난 수치”라고 설명했다.

야킴추크는 “최근 공격 수법이 빠르게 고도화되고 있다”고 말했다. 그는 “이제는 스마트폰 자체와 금융기관 앱 코드까지 동시에 침해한 뒤, 가상 카메라에 도난당한 생체 정보와 딥페이크를 결합해 입력하는 방식이 쓰인다”며 “과거에는 은행 앱을 디컴파일해 텔레그램에 유포하는 것만으로도 충분했지만 KYC 절차가 도입되면서 훨씬 더 복잡한 단계가 필요해졌다”고 말했다.

응오는 “사기 조직은 결국 돈을 이동시켜야 하기 때문에 KYC 우회 기술은 자금 세탁 과정에서 사실상 필수 수단이 됐다”고 지적했다. 그는 한때 해킹 범죄로 유죄 판결을 받았지만 이후 베트남 정부의 사이버보안 자문으로 활동했으며, 현재는 반사기 비영리단체를 운영하면서 수사기관의 자금 세탁 조사를 지원하고 있다.

그는 돼지 도살형 사기에서 자금이 이동하는 과정을 이렇게 설명한다. 피해자에게서 빼낸 돈은 ‘워터 하우스(water houses)’로 불리는 자금 세탁 네트워크가 관리하거나 임대한 계좌로 먼저 들어간다. 이후 세탁 조직은 KYC 우회 기술을 이용해 계좌에 접근한 뒤, 자금을 빠르게 여러 곳으로 분산시키고 디지털 자산으로 전환한다. 이 과정에서 주로 사용되는 것이 달러 가치에 연동된 스테이블코인 테더(Tether)다.

이러한 거래는 정교하게 설계된 운영 체계 아래 몇 초 만에 이뤄진다. 응오는 “이들은 은행이 계좌를 어떻게 검증하고 인증하는지 그 흐름을 매우 정확하게 이해하고 있다”고 말했다.

창과 방패의 싸움

사이버 사기 자금 세탁이 급증하면서 금융기관을 향한 감시도 한층 강화되고 있다. 2023년 바이낸스는 자금세탁 방지 체계를 제대로 갖추지 않은 채 운영해 온 혐의로 미국 연방법원에서 유죄를 인정했다. 창펑 자오(Chaopeng Zhao) 전 바이낸스 CEO는 지난해 10월 도널드 트럼프 미국 대통령으로부터 사면을 받았다.

국제탐사보도언론인협회(ICIJ)의 최근 분석에 따르면 자오의 유죄 인정 이후에도 4억 달러가 넘는 자금이 캄보디아 기반 기업 후이온 그룹(Huione Group)에서 바이낸스로 계속 유입된 것으로 나타났다. 미국 재무부는 이 회사를 돼지 도살형 사기 자금 세탁의 핵심 거점으로 지목하고 제재를 가한 바 있다. 바이낸스는 이에 대해 “최첨단 보안 시스템을 통해 수십억 달러 규모의 사기 피해를 차단해 왔다”며 “2025년 한 해에만 7만1,000건 이상의 수사기관 요청을 처리했다”고 밝혔다.

그러나 텍사스대학교 오스틴 캠퍼스의 존 그리핀(John Griffin) 금융·블록체인 전문가는 “여전히 거래소 보안에 허점이 남아 있다”고 지적한다. 그는 “많은 개선이 이뤄졌다는 홍보가 이어지고 있지만 중요한 것은 결과”라며 “범죄자들이 여전히 해당 거래소를 이용하고 있다면 그 자체로 취약점이 존재한다는 의미”라고 말했다.

이에 대해 바이낸스는 그리핀이 바이낸스를 비롯해 후오비(Huobi), OKX, 토큰론(Tokenlon) 등 거래소를 통한 범죄 자금 흐름을 추적한 연구에 대해 “신뢰하기 어려운 분석에 근거한 것”이라며 “아무리 좋게 해석해도 오해의 여지가 크고, 사실과 상당히 다르다”고 반박했다.

바이낸스는 또 일부 KYC 우회 서비스 자체가 사기일 가능성도 제기하며 “실제 성공 사례가 과장됐을 수 있다”고 주장했다. 회사 측은 “이러한 서비스에 접근하는 것 자체가 큰 보안 위험”이라며 “접속이 가능해 보이더라도 내부 탐지 시스템과 규정 준수 절차에 의해 이미 제한된 계정일 가능성이 높아 실제 거래나 출금에는 사용할 수 없는 경우가 많다”고 설명했다.

각국 규제 당국도 대응에 나서고 있다. 태국에서는 인접한 미얀마와 캄보디아 기반 사이버 사기 조직에 자국민의 은행 계좌가 ‘대포 계좌’로 자주 악용되면서, KYC 모니터링을 강화하고 일일 거래 한도를 제한하며, 감독 기관의 계좌 정지 권한을 확대하는 내용의 법안이 도입됐다. 미국 재무부 산하 금융범죄단속네트워크(FinCEN) 역시 2024년 말 KYC 딥페이크와 가상 카메라 활용 수법에 대해 경고하며, 자금 세탁을 식별하기 위해 보다 폭넓은 거래 패턴 분석을 권고했다.

응오는 “보안이 강화될수록 우회는 더 어려워지겠지만, 완전히 막을 수는 없다”며 “결국 시간문제일 뿐”이라고 말했다.

The post 텔레그램에서 거래되는 인증 우회 도구…금융권 ‘비상’ appeared first on MIT 테크놀로지 리뷰 | MIT Technology Review Korea.