텔레그램 기반 금융 보안 우회 도구 확산과 KYC 무력화

주장사이버 범죄 조직이 텔레그램에서 유통하는 불법 해킹 도구를 활용해 금융 기관의 고객 확인 절차인 KYC(Know Your Customer)를 무력화하고 있습니다. 범죄자들은 가상 카메라 기술로 실제 사용자 얼굴 대신 딥페이크 영상을 주입해 보안 시스템을 속입니다.

팩트MIT 테크놀로지 리뷰는 중국어, 베트남어, 영어로 운영되는 22개 텔레그램 채널이 생체 데이터 도용 및 보안 우회 키트를 광고한다고 보도했습니다. 해당 채널들은 바이낸스, BBVA 등 주요 암호화폐 거래소와 은행을 대상으로 한 사기 행각을 지원한다고 주장합니다.

팩트생체 인식 보안 업체 아이프루브(iProov)는 지난해 전 세계 가상 카메라 공격이 2023년 대비 25배 이상 증가했다고 발표했습니다. 보안 기업 썸섭(Sumsub) 역시 다단계 사기 시도가 지난해 3배 가까이 증가했다고 보고했습니다.

팩트사이버 보안 기업 탈섹(Talsec)의 세르기 야킴추크 최고경영자는 자사 고객을 대상으로 한 가상 카메라 기반 해킹 시도가 지난해 약 30건 발생했다고 밝혔습니다. 이는 2023년 10건 미만과 비교해 급격히 증가한 수치입니다.

팩트자금 세탁 조직은 '물집'이라 불리는 대포 통장을 관리하며 KYC 우회 기술로 피해자 자금을 빠르게 이동시킵니다. 이들은 탈취한 자금을 테더(Tether)와 같은 스테이블코인으로 변환해 추적을 피하고 세탁합니다.

팩트체이널리시스(Chainalysis)에 따르면 2025년 암호화폐 사기 및 범죄로 도난당한 금액은 약 170억 달러로 추산됩니다. 이는 2024년 130억 달러보다 증가한 규모이며, 유엔 마약범죄사무소는 아시아 사기 조직이 아프리카와 태평양 지역으로 확장하며 수익을 극대화하고 있다고 경고했습니다.

주장금융 기관의 보안 강화 조치와 범죄자의 우회 기술 개발은 끝없는 추격전 양상을 보입니다. 범죄자들은 이제 앱 해킹을 넘어 스마트폰 운영 체제를 탈옥하거나 앱 코드에 후킹 프레임워크를 주입하는 등 더욱 복잡한 방식을 사용합니다.

교차검증텔레그램 측은 서비스 약관 위반을 이유로 해당 계정을 삭제했다고 밝혔으나, 유사 도구를 광고하는 채널과 그룹은 여전히 활발하게 운영됩니다. 금융 기관은 보안 시스템이 공격을 방어하고 있다고 강조하지만, 실제 피해 규모와 성공률을 정확히 파악하기 어렵다는 한계가 있습니다.

교차검증금융 기관은 우회 시도를 인지하고 시스템을 지속적으로 개선하고 있다고 설명합니다. 그러나 보안 전문가들은 기업이 인지하지 못하거나 보고하지 않은 공격이 훨씬 많을 것이라며 보안 사각지대가 여전히 존재함을 시사합니다.

출처MIT 테크놀로지 리뷰의 'Cyberscammers are bypassing banks’ security with illicit tools sold on Telegram' 기사를 교차 검증했습니다.