캄보디아의 한 자금 세탁 조직 사무실. 직원 한 명이 스마트폰으로 베트남에서 널리 쓰이는 은행 앱을 실행한다. 계정과 연결된 사진을 업로드하라는 요청이 뜨자 그는 30대 아시아 남성의 사진을 선택한다.

이어 앱은 얼굴 인식을 위해 카메라를 켜라고 요구한다. 사기범은 계정 주인과 전혀 닮지 않은 여성의 이미지를 화면에 들이민다. 화면 안에 얼굴을 맞추라는 안내가 이어지는 가운데 약 90초가 지나자 인증은 그대로 통과된다.

이 장면은 사이버 보안 연구자 히에우 민 응오(Hieu Minh Ngo)가 필자에게 공유한 영상에 담긴 실제 해킹 시연이다. 그는 “최근 텔레그램에서 손쉽게 구매할 수 있는 불법 해킹 서비스 덕분에 이런 수법이 가능해졌다”며 “이 도구들은 ‘고객 확인 제도(KYC)’의 얼굴 인식 시스템을 무력화하도록 설계돼 있다”고 설명했다.

은행과 암호화폐 서비스에서 사용하는 이러한 보안 절차는 계정이 실제 인물의 것인지 확인하고, 사용자의 얼굴이 등록된 신분증 정보와 일치하는지를 검증하기 위한 것이다. 그러나 사기범들은 이를 우회해 이른바 ‘대포 계좌’를 개설하고 자금을 세탁하고 있다. 이들은 실제 카메라 영상을 요구하는 ‘라이브니스(liveness)’ 검사를 속이기 위해 ‘가상 카메라’를 사용한다. 가상 카메라는 실제 인물이나 딥페이크 영상은 물론, 심지어 사물 이미지까지도 실시간 영상처럼 입력할 수 있다.

금융기관들이 보안 수준을 끌어올리는 사이 이를 무력화하려는 기술도 빠르게 진화하고 있다. 범죄 조직과 금융업계 사이의 ‘창과 방패’ 싸움이 한층 치열해지는 양상이다.