사이버 사기범들이 텔레그램에서 불법으로 유통되는 해킹 도구를 이용해 은행과 암호화폐 거래소의 본인 확인 보안을 무력화하고 있다는 심층 조사 결과가 나왔다. MIT 테크놀로지 리뷰가 약 두 달간 실시한 조사에 따르면, 중국어·베트남어·영어로 운영되는 텔레그램 채널과 그룹 22개에서 각종 우회 도구와 도용된 생체 정보가 공공연히 거래되고 있었다. 피해 대상 기관은 바이낸스 같은 주요 암호화폐 거래소부터 스페인 BBVA 같은 전통 은행까지 광범위하다.
이 불법 도구들이 주로 노리는 것은 금융 기관의 고객 확인 절차인 KYC 안면 인식 스캔이다. KYC는 계좌가 실제 인물에 속하는지, 그리고 사용자의 얼굴이 최초 계좌 개설 시 제출된 신분증과 일치하는지를 확인하는 절차다. 기사에 소개된 실제 사례에서는 캄보디아의 자금 세탁 센터에서 일하는 한 직원이 텔레그램에서 구매한 우회 도구를 이용해 베트남 은행 앱의 생체 인식 검증을 약 90초 만에 통과했다. 앱이 사진 업로드를 요청하는 순간 해당 도구를 이용해 위조된 얼굴 이미지를 주입하는 방식이었다.
전문가들은 이러한 KYC 우회 도구의 핵심이 딥페이크 기술과 사전 유출된 생체 데이터를 결합하는 데 있다고 설명한다. 텔레그램 채널에서는 실명·주민번호·안면 이미지가 포함된 패키지 데이터가 건당 몇 달러에서 수십 달러에 판매되고 있다. 이 데이터 다수는 과거 대규모 개인정보 유출 사고나 피싱 공격을 통해 수집된 것으로 추정된다. 기술적 장벽이 낮아지면서 전문 해커가 아닌 일반 사기 조직도 이 도구를 손쉽게 활용할 수 있게 됐다는 점이 더욱 우려스럽다.
캄보디아는 동남아시아 사이버 사기의 주요 거점 중 하나로 알려져 있다. 캄보디아 의회는 올해 초 온라인 사기 조직에 대해 2~5년 징역형과 최대 12만 5천 달러의 벌금을 부과하는 법안을 통과시켰다. 그러나 법 집행의 현실적 어려움과 국경을 초월하는 사기 네트워크의 특성상 실효성에는 의문이 제기되고 있다. 인터폴을 비롯한 국제 수사 기관들도 이 지역 사이버 범죄 조직 추적에 공조하고 있으나, 도구 유통 채널을 완전히 차단하기는 쉽지 않은 상황이다.
이번 보도는 금융권의 AI 기반 보안 기술이 AI 기반 공격 기술과 동시에 발전하는 현실을 적나라하게 보여 준다. 보안 전문가들은 단순 정적 이미지 매칭을 넘어 실시간 행동 분석, 멀티팩터 인증 강화, 하드웨어 기반 신원 검증 등 더욱 정교한 방어 체계 도입이 시급하다고 강조한다. 텔레그램을 비롯한 메시지 플랫폼들도 불법 도구 유통에 대한 더 강력한 책임을 져야 한다는 규제 당국과 시민사회의 목소리도 높아지고 있다.
자세한 내용은 MIT 테크놀로지 리뷰(MIT Technology Review)에서 확인할 수 있다.
이미지 출처: 이디오그램 생성
