fbpx
Enterprise AI Seoul 2026
AI Summit Seoul & EXPO 2026
봄맞이 할인 이벤트
AI 활용의 세계
스페셜리포트
MIT 취재 광고 요청하기
MIT 테크놀로지 리뷰 | MIT Technology Review Korea
MIT 테크놀로지 리뷰 | MIT Technology Review Korea
STEPHANIE ARNETT/MIT TECHNOLOGY REVIEW | ADOBE STOCK
비즈니스
Cyberscammers are bypassing banks’ security with illicit tools sold on Telegram

텔레그램에서 거래되는 인증 우회 도구…금융권 ‘비상’

텔레그램을 중심으로 KYC 인증을 우회하는 해킹 도구가 확산되면서, 사기 조직이 이를 이용해 대포 계좌를 개설하고 자금을 세탁하는 사례가 급증하고 있다.
Fiona Kelliher

2026년 4월 17일

📋한눈에 보는 AI 요약AI 자동 요약▶ 펼쳐보기

텔레그램이라는 메신저 앱에서 은행의 얼굴 인식 보안을 속이는 해킹 도구가 공공연하게 거래되고 있습니다. 범죄자들은 가짜 카메라 영상과 조작된 사진을 이용해 다른 사람인 척 은행 본인 인증을 통과한 뒤, 대포 계좌를 만들어 사기 자금을 세탁합니다. 이런 공격은 2024년에 전년 대비 수십 배 늘었고, 아시아뿐 아니라 전 세계 은행과 암호화폐 거래소가 타깃이 되고 있습니다. 각국 정부와 금융기관이 보안을 강화하고 있지만, 범죄 기술도 함께 진화하면서 완전한 차단은 어려운 상황입니다.

왜 중요한가요?

우리가 매일 사용하는 은행 앱과 금융 서비스의 본인 인증이 뚫릴 수 있다는 뜻이므로, 개인 금융 보안과 사기 피해 방지에 직접적으로 관련된 문제입니다.

주요 용어 설명
고객 확인 제도 (KYC, Know Your Customer)

은행이나 금융 서비스에 가입할 때 ‘당신이 진짜 본인이 맞는지’ 확인하는 절차입니다. 신분증 사진을 올리고 얼굴을 카메라로 비추는 것이 대표적인 예시이며, 범죄자가 남의 계좌를 함부로 쓰지 못하도록 막는 역할을 합니다.

가상 카메라 (Virtual Camera)

실제 카메라가 찍는 영상 대신 미리 준비한 사진이나 영상을 마치 지금 카메라로 찍고 있는 것처럼 속여서 보내주는 소프트웨어입니다. 화상 통화에서 배경을 바꾸는 것과 비슷하지만, 여기서는 얼굴 자체를 바꿔치기해서 본인 인증을 통과하는 데 악용됩니다.

라이브니스 검사 (Liveness Check)

화면에 비친 얼굴이 사진이 아니라 진짜 살아 있는 사람인지 확인하는 기술입니다. 예를 들어 고개를 돌리거나 눈을 깜빡이라고 요구해서 사진이나 인형이 아닌 실제 사람인지 판별하는데, 가상 카메라와 딥페이크로 이를 속이는 수법이 등장했습니다.

후킹 프레임워크 (Hooking Framework)

앱이 작동하는 중간에 끼어들어 특정 기능을 몰래 바꿔치기하는 해킹 도구입니다. 마치 편지를 배달하는 도중에 내용을 슬쩍 바꾸는 것과 비슷하며, 은행 앱이 진짜 카메라를 켜는 대신 가짜 카메라를 켜도록 조작하는 데 사용됩니다.

돼지 도살형 사기 (Pig Butchering Scam)

사기꾼이 오랜 시간에 걸쳐 피해자와 친해진 뒤 투자 등을 빌미로 큰돈을 한꺼번에 빼앗는 수법입니다. 돼지를 오래 살찌운 뒤 도살한다는 비유에서 이름이 붙었으며, 빼낸 돈은 대포 계좌와 암호화폐를 통해 빠르게 세탁됩니다.

⚡ Claude AI가 독자를 위해 자동 생성한 요약입니다. 원문을 함께 읽어보세요.

캄보디아의 한 자금 세탁 조직 사무실. 직원 한 명이 스마트폰으로 베트남에서 널리 쓰이는 은행 앱을 실행한다. 계정과 연결된 사진을 업로드하라는 요청이 뜨자 그는 30대 아시아 남성의 사진을 선택한다.

이어 앱은 얼굴 인식을 위해 카메라를 켜라고 요구한다. 사기범은 계정 주인과 전혀 닮지 않은 여성의 이미지를 화면에 들이민다. 화면 안에 얼굴을 맞추라는 안내가 이어지는 가운데 약 90초가 지나자 인증은 그대로 통과된다.

이 장면은 사이버 보안 연구자 히에우 민 응오(Hieu Minh Ngo)가 필자에게 공유한 영상에 담긴 실제 해킹 시연이다. 그는 “최근 텔레그램에서 손쉽게 구매할 수 있는 불법 해킹 서비스 덕분에 이런 수법이 가능해졌다”며 “이 도구들은 ‘고객 확인 제도(KYC)’의 얼굴 인식 시스템을 무력화하도록 설계돼 있다”고 설명했다.

은행과 암호화폐 서비스에서 사용하는 이러한 보안 절차는 계정이 실제 인물의 것인지 확인하고, 사용자의 얼굴이 등록된 신분증 정보와 일치하는지를 검증하기 위한 것이다. 그러나 사기범들은 이를 우회해 이른바 ‘대포 계좌’를 개설하고 자금을 세탁하고 있다. 이들은 실제 카메라 영상을 요구하는 ‘라이브니스(liveness)’ 검사를 속이기 위해 ‘가상 카메라’를 사용한다. 가상 카메라는 실제 인물이나 딥페이크 영상은 물론, 심지어 사물 이미지까지도 실시간 영상처럼 입력할 수 있다.

금융기관들이 보안 수준을 끌어올리는 사이 이를 무력화하려는 기술도 빠르게 진화하고 있다. 범죄 조직과 금융업계 사이의 ‘창과 방패’ 싸움이 한층 치열해지는 양상이다.

MIT 테크놀로지 리뷰와 함께, 미래를 앞서가세요 !!
한달에 커피 2잔값으로 즐기기
온라인 멤버
지면 매거진 멤버
(온라인+지면) 프리미엄 멤버

유료회원 플랜 보기 회원이면 로그인하기 회원가입

회원 가입 후 유료 구독 신청을 하세요 !!

연관 토픽