인벤 - No.1 게임 미디어 플랫폼

커뮤니티메뉴

인벤

로그인 전체서비스

오픈이슈갤러리

전체보기

글쓰기

모바일 상단 메뉴

본문 페이지

[이슈] 사이버 범죄자들이 텔레그램을 이용해 은행보안을 무력화 하는 방법

전승지기초

댓글: 1 개

2026-04-16 08:43:46

사기꾼들이 텔레그램 인프라를 악용해 계정 정보를 탈취하고, 다중 인증을 우회하며, 은행 계좌를 털어가는 수법을 파헤칩니다
.
•　MIT 테크놀로지 리뷰는 사이버 사기꾼들이 텔레그램 채널과 봇을 활용해 은행 보안 체계를 우회하고 자금을 탈취하는 실태를 보도했습니다.

•　범죄자들은 텔레그램 마켓플레이스를 통해 탈취한 로그인 정보를 판매하고, OTP 가로채기 봇을 배포하며, 은행 내부자를 포섭해 다중 인증을 무력화합니다.

•　**레볼루트(Revolut)**는 텔레그램 관련 사기가 230% 급증했다고 경고했으며, 체크포인트(Check Point) 데이터에 따르면 플랫폼의 단속에도 불구하고 범죄 콘텐츠가 지속적으로 유통되고 있는 것으로 나타났습니다

https://www.technologyreview.com/2026/04/15/1135898/cyberscammers-bypassing-bank-telegram/

요약
캄보디아의 한 자금세탁 센터에서 직원 한 명이 휴대폰으로 인기 베트남 뱅킹 앱을 열었다. 앱이 계정에 연결된 사진을 업로드하라고 요청하자, 그는 30대 아시아 남성의 사진을 선택한다. 이어서 앱이 영상 ‘라이브니스(liveness)’ 인증을 위해 카메라를 열라고 요청하자, 사기꾼은 계정 소유자와 전혀 다른 여성의 정지 이미지를 카메라에 들이댄다. 90초 후—앱이 얼굴을 프레임 안에 맞추라고 안내하는 사이—그는 계정 접속에 성공한다.

KYC 우회: 텔레그램에서 팔리는 해킹 서비스
이 취약점 악용 사례는, 사이버 범죄 연구자 Hieu Minh Ngo가 공유한 영상에서 드러난 것으로, 텔레그램에서 구매할 수 있는 다양한 불법 해킹 서비스 덕분에 가능해졌다. 이 서비스들은 금융기관의 ‘KYC(고객 신원 확인)’ 안면 스캔을 무력화하도록 설계되어 있다.
KYC 안면 인증은 계정이 실존 인물 명의임을, 그리고 이용자의 얼굴이 계좌 개설 시 제출한 신분증과 일치함을 확인하는 보안 절차다. 그러나 사기꾼들은 이를 우회해 ’뮬 계좌(mule account)’를 개설하고 자금을 세탁하고 있다. 이들이 주로 사용하는 수법은 ’가상 카메라(virtual camera)’로, 실시간 카메라 영상 대신 실제 인물이나 딥페이크 영상, 심지어 사물 사진을 대입한다.
약 두 달간의 조사 끝에 MIT Technology Review는 KYC 우회 키트와 도난 생체정보를 광고하는 중국어·베트남어·영어 텔레그램 공개 채널 및 그룹 22개를 확인했다. 이 소프트웨어들은 바이낸스 같은 주요 암호화폐 거래소부터 스페인의 BBVA 같은 일반 은행에 이르기까지, 금융기관의 본인인증 절차를 뚫을 수 있다고 주장한다.
텔레그램 측은 해당 계정들을 검토한 후 이용약관 위반으로 삭제했다고 밝혔다. 하지만 유사한 도구를 광고하는 채널들은 여전히 활발히 운영 중이다.

피그 버처링 사기와의 연결고리
KYC 우회 확산은 전 세계적으로 팽창 중인 ‘피그 버처링(pig-butchering)’ 사이버 사기 산업과 궤를 같이한다. 블록체인 분석업체 체이널리시스(Chainalysis)는 2025년 암호화폐 사기·사기 피해액이 약 170억 달러로 2024년의 130억 달러에서 증가했다고 추산했다.

생체인증 업체 iProov에 따르면 2024년 전 세계 가상 카메라 공격 빈도는 2023년 대비 25배 이상 증가했으며, KYC 서비스 기업 Sumsub은 가상 카메라 우회를 포함한 ‘정교한’ 다단계 사기 시도가 작년 한 해 자사 고객사 기준 거의 세 배로 늘었다고 보고했다.

우회 기법의 구조
광고 문구는 단순해 보여도, 실제 우회 기법은 복잡하며 여러 방법을 복합적으로 사용한다. 일부 채널은 물리적 스마트폰을 탈옥(jailbreak)시켜 원할 때마다 가상 카메라를 작동시키는 서비스를 제공한다. 또 다른 기법은 ’후킹 프레임워크(hooking framework)’라 불리는 코드를 금융 앱에 주입해 가상 카메라를 강제로 실행시킨다.
사이버보안 기업 Talsec의 CEO Sergiy Yakymchuk은 해커들이 점점 더 스마트폰 자체와 금융 앱 코드를 동시에 공략한 뒤, 도난된 생체정보와 딥페이크를 혼합해 가상 카메라에 입력하는 방식을 쓴다고 설명했다. 그의 팀은 지난 1년간 가상 카메라 기반 해킹 관련 도움 요청을 약 30건 처리했으며, 이는 2023년의 10건 미만에서 크게 늘어난 수치다.
Ngo 연구원은 KYC 우회가 “현재 모든 것의 필수 요소가 됐다—사기 조직들이 돈을 움직여야 하기 때문”이라고 설명한다. 피해자 자금은 ’워터 하우스(water house)’라 불리는 자금세탁 네트워크가 통제하거나 임대한 계좌로 입금된 뒤, 사기꾼들이 KYC 우회를 활용해 계좌에 접근하고 이익금을 신속히 분산시킨 다음 달러에 페그된 스테이블코인인 테더(Tether)로 전환한다.

규제 당국의 대응과 한계
태국에서는 새 법률이 KYC 모니터링을 강화하고, 일일 거래 한도를 제한하며, 의심 계좌 정지 권한을 확대했다. 미국 금융범죄단속네트워크(FinCEN)는 2024년 말 딥페이크 및 가상 카메라 활용 KYC 위협에 대한 경고를 발령하며, 금융 플랫폼들이 더 광범위한 거래 패턴을 추적해 자금세탁을 탐지할 것을 촉구했다.
그러나 Ngo 연구원은 어떤 새로운 보안·보고 요건도 우회를 더 어렵게 만들 뿐, “완전히 막지는 못할 것”이라고 말한다. “결국 시간문제일 뿐”이라는 것이다

배경 지식: KYC가 뭔가?
은행이나 암호화폐 거래소에 계좌를 열 때 “셀카 찍어서 신분증이랑 같이 올려라”는 절차. 실존 인물인지, 신분증 주인과 같은 사람인지 확인하는 거다.
핵심 개념: 가상 카메라 (Virtual Camera)
스마트폰 카메라를 가짜 카메라로 교체하는 소프트웨어. 진짜 카메라 대신 미리 준비한 사진이나 영상을 앱에 “카메라 영상”인 척 전달한다.

공격 방법 두 가지
① 폰 자체를 탈옥(Jailbreak)
　•　스마트폰 운영체제의 제한을 풀어서
　•　어떤 앱을 쓸 때든 가상 카메라를 끼워 넣을 수 있게 만든다
② 앱에 코드 주입 (Hooking)
　•　은행 앱 자체를 분해·조작해서
　•　앱이 카메라를 켤 때 자동으로 가상 카메라로 대체되도록 만든다

① 도난된 신분증 + 사진 입수
② 폰 탈옥 또는 앱 코드 조작
③ 가상 카메라로 KYC 셀카 인증 통과
④ 타인 명의 계좌 개설 → 자금세탁

쉽게 말해 “카메라가 보여주는 것을 믿는” 구조적 한계를 이용하는 것이다. 은행이 막으면 새 우회법이 나오는 고양이-쥐 게임

규제당국은 가상카메라 KYC방식에 대응을 서둘러야 할듯