글쓴이: angelilu, Foresight News
"해당 지역에서는 현재 서비스가 지원되지 않습니다."
이 메시지를 몇 번이나 봤는지 셀 수도 없네요. 이번에는 만반의 준비를 했습니다. 여권을 꺼내고, 카메라 앞면과 뒷면 사진을 찍고, 셀카 모드로 전환해서 신분증을 들고 있는 제 사진을 찍고, 화면에 나오는 지시에 따라 고개를 끄덕이고, 젓고, 눈을 깜빡였습니다. 전체 과정은 10분 정도 걸렸고, 지난번보다 훨씬 더 신경을 썼습니다. 그러자 페이지가 바뀌면서 "제출 완료, 검토 대기 중"이라는 메시지가 나타났습니다.
사흘을 기다렸습니다. 넷째 날, 페이지를 새로고침했는데도 상태는 여전히 "검토 중"이었습니다. 출금 기능은 "신원 확인 완료 대기 중"이라는 이유로 정지되어 있었습니다. 제가 참여하고 싶었던 프로젝트의 참가 신청 기간은 48시간 후에 마감됩니다.
아니면, 기다릴 필요조차 없습니다. 제가 어떤 조치를 취하기도 전에 페이지에서 IP 주소를 식별하고 즉시 "현재 해당 지역에서는 서비스가 지원되지 않습니다."라는 메시지를 띄웁니다. 이유도 없고, 이의를 제기할 방법도 없고, 제가 할 수 있는 다른 조치에 대한 설명도 없습니다. 제가 협조하고 싶지 않아서가 아니라, 애초에 협조할 권리조차 없는 것입니다.
이는 우리가 흔히 접하는 상황이며, 암호화폐 업계에서 가장 일반적인 장애물입니다. 바로 KYC(고객 신원 확인)입니다. KYC는 "규정 준수"라는 단어에서 가장 중요한 부분으로, 접근하려면 본인이 누구인지 증명해야 합니다.
지난 5년간 주요 거래소들은 고객확인(KYC) 절차를 Sumsub, Jumio와 같은 상용 신원 확인 시스템에 점진적으로 아웃소싱해 왔습니다. 이러한 규정 준수 비용은 "제품화"되어 지속적인 지출 항목으로 자리 잡았습니다. 주요 플랫폼들의 경우, 이러한 지출은 수백만 달러에서 수천만 달러에 달합니다.
여러 암호화폐 결제 업계 전문가들은 포사이트 뉴스(Foresight News)와의 인터뷰에서 업계가 여전히 Sumsub, Jumio와 같은 제3자 서비스 제공업체에 KYC 절차를 많이 의존하고 있다고 밝혔습니다. 이러한 솔루션은 글로벌 데이터 범위와 규정 준수 기능 측면에서 상당한 이점을 가지고 있기 때문입니다.
하지만 거래량이 증가하고 위험 관리 요구가 높아짐에 따라 일부 주요 기관들은 비용, 승인률 및 위험 관리 간의 균형을 더 잘 맞추기 위해 "자체 구축 위험 관리 + 제3자 KYC"를 결합한 하이브리드 모델을 모색하기 시작했습니다.
하지만 아무리 높은 장벽을 쌓아도 암시장은 이미 자체적인 가격을 정해 놓았습니다. 그리고 이 장벽 너머에는 저렴한 비용으로 이 시스템을 뚫고 들어갈 수 있도록 설계된 완벽한 암시장 산업망이 존재합니다. 이 시스템을 뚫고 들어가는 데 드는 비용은 단 20 USDT입니다. 이 금액에는 거래소에서 요구하는 모든 인증 절차, 즉 여권이나 운전면허증 업로드, 얼굴 인식, 거주지 증명 등이 모두 포함되어 있습니다.
50만 명, 그 누구도 제대로 추산해 본 적 없는 시장.
"정책이 있는 곳에는 대응책이 있다"는 원칙에 따라 온라인에서 "Web3 KYC"를 검색하기 시작했습니다. 그런데 튜토리얼 대신 경고문이 더 많이 눈에 띄었습니다.
CertiK가 2023년에 발표한 보고서에 따르면 20개 이상의 불법 KYC 시장을 조사한 결과, 당시 참여자 수는 50만 명을 넘어섰으며, 이들은 동남아시아에 집중되어 다양한 플랫폼에서 인증된 계정을 사고파는 데 특화되어 있고, 그룹 규모는 4,000명에서 30만 명에 이르는 것으로 나타났습니다.
사이버 보안 회사인 제로폭스는 한 해 동안 공개 포럼과 텔레그램에서 KYC 계정을 판매하는 게시물이 100만 건 이상 발견되었으며, 여기에는 코인베이스 프로와 크라켄과 같은 주요 거래소가 연루되었고 가격은 150달러에서 500달러 사이였다고 추산했습니다.
CoinDesk는 보다 직접적인 접근 방식을 취해 여러 계정을 직접 구매하여 검증했습니다. 각 계정에는 실제 사용자의 이름, 집 주소, 생년월일이 연결되어 있었고, 미국 거주자의 경우 사회보장번호까지 포함되어 있었습니다. 그런 다음 공개 데이터베이스를 검색하여 계정 정보와 완벽하게 일치하는 실제 인물 4명을 찾아 서면으로 통지했습니다. 이들은 자신의 이름이 낯선 사람의 거래소 계정에 연결되어 있다는 사실조차 몰랐으며, 비밀번호를 설정한 적도 없다고 주장했습니다.
기술적인 측면 또한 동시에 악화되고 있습니다. Sumsub 의 2025년 신원 도용 보고서에 따르면, 딥페이크 공격은 지난 3년 동안 2,000% 이상 증가했으며, 현재 전체 신원 도용 시도의 약 15분의 1을 차지하고 있습니다.
공격 경로는 3단계 구조를 이룹니다.
- 가장 아래층은 고해상도 스크린과 편광 필터를 함께 사용하여 반사를 제거함으로써 "비디오 재생" 이미지가 실제 촬영 이미지와 광학적으로 거의 동일하도록 합니다.
- 두 번째 단계는 후크 주입 공격으로, 휴대폰 카메라의 시스템 호출 인터페이스를 직접 가로채서 미리 녹화된 4K 비디오를 애플리케이션의 캡처 창으로 "입력"하는 방식입니다. 애플리케이션이 "보는" 것은 카메라의 실시간 출력이지만, 실제로 입력되는 것은 미리 준비된 비디오입니다.
- 세 번째 단계는 원클릭 AI 얼굴 교체 도구입니다. 사진을 업로드하기만 하면 얼굴이 생성되므로 공격 장벽이 완전히 사라집니다. 실제 사람의 생체 인식 시스템을 뚫는 데 드는 평균 비용은 10달러이며, 투자 대비 최대 1400%의 수익률을 기대할 수 있습니다.
Threat Hunter의 " 2025년 글로벌 KYC 공격 위험 연구 보고서 "에 따르면, 암호화폐 거래소와 지갑 결제 플랫폼이 모든 KYC 공격의 핵심 표적이며, 전체 공격의 78% 이상을 차지합니다. 가장 많이 판매되는 공격 자료는 "주소 증명" 파일인데, 그 이유는 간단합니다. 주소 증명 파일은 빈번한 업데이트가 필요한 반면, AI는 일괄적으로 생성할 수 있기 때문입니다.
이 수치들은 사기, 신원 도용, 그리고 조직적인 범죄 공급망이라는 명백한 실상을 보여줍니다. 50만 명의 참여자, 100만 건의 공개 거래 게시물, 그리고 코인베이스, 바이낸스 미국, 크라켄과 같은 주요 거래소의 계정들을 종합해 보면, 이는 특정 플랫폼의 고립된 사례가 아니라 전체 암호화폐 규제 시스템이 직면한 시스템적 취약점입니다. KYC(고객 신원 확인) 제도가 존재하는 한, 이를 우회하는 시장은 상당한 규모로 존재할 것입니다.
각 보고서는 "위협 행위자", "지하 시장", "불법 운영"과 같은 매우 구체적인 용어를 사용합니다. 그러나 이 보고서들은 공통적인 맹점을 가지고 있습니다. 마치 유리창 너머의 불길을 묘사하듯, 규제 기관과 보안 회사의 외부 시각에서만 보고서를 작성했다는 점입니다.
하지만 어떤 보고서도 텔레그램에 매일 접속하는 사람들이 누구인지, 그들이 자신의 활동을 어떻게 생각하는지, 그리고 이 사업이 실제로 누구를 위한 것인지에 대해 설명하지 않습니다.
저는 업계 관계자들과 이야기를 나눠보기로 했습니다.
불법 KYC 업체: 2년 동안 600건의 거래
텔레그램에서 KYC를 검색하면 몇 초 만에 수많은 계정이 나타납니다.
3월 초, 저는 신뢰할 만해 보이는 KYC 대행업체를 무작위로 선택했습니다. 하지만 안타깝게도, 답변이 다섯 단어 남짓한 차가운 남자를 만났습니다. 그는 제 질문 대부분에 "예"라고 단답형으로 대답했고, 제가 얻을 수 있었던 정보는 "CoinList의 KYC 비용은 40달러입니다", "Coinbase의 KYC 비용은 20달러입니다"와 같은 가격 정보뿐이었습니다.
긴 침묵 후, 상대방은 조금 더 긴 메시지를 보냈다. "그래서, 우리 같이 일할 수 있을까요?" 그 문장은 마치 다른 언어에서 억지로 번역한 것처럼 들렸다. 협업을 논의하는 것처럼 읽혔지만, 아마도 거래를 성사시키기 위한 신호였을 것이다. 대화는 이어지기 어려웠다.
그래서 저는 그가 제게 알려준 트론 블록체인 수신 주소를 확인해 봤습니다. 이 주소는 2024년 1월부터 운영되어 왔으며, 26개월 동안 600건 이상의 거래를 통해 59,243 USDT 이상이 유입되었습니다. 하지만 순 보유액은 0입니다.
모든 거래는 짧은 시간 안에 순식간에 처리되어 동일한 상위 주소로 다시 전송되었습니다. 이 과정을 추적해 보면, 돈은 결국 트론 체인에 있는 OKX의 핫월렛으로 이체되었습니다. KYC 절차를 우회하도록 도운 이 중간책은 자신이 벌어들인 모든 돈을 거래소에 예치했습니다.
규모가 그리 크지 않은 익명의 판매자가 2년 동안 600건의 거래를 통해 거의 6만 달러의 매출을 올렸습니다. 휴일이나 비수기도 없었고, 단지 신제품 출시로 인한 매출 변동만 있었습니다. 게다가 이는 단 하나의 주소, 단 하나의 판매자, 단 하나의 체인점에 불과합니다.
그 연결고리는 나와 이어지지 않았고, 단서는 거기서 끊겼다. 익명의 사람들은 말을 하지 않으니, 좀 더 기꺼이 이야기해 줄 사람을 찾아야겠다.
KYC "사업가": 5년, 수십 개의 플랫폼
저는 마침내 X 플랫폼에서 KYC 서비스를 전문으로 하는 "사업가"를 찾았습니다. 친구의 소개로 그를 소셜 미디어에 추가했고, 그는 인터뷰에 응해 주었습니다.
그의 이름은 마오리이며, 다양한 제품을 제공하는 "블록체인 서비스 플랫폼"을 운영하고 있습니다.
웹3 KYC 서비스에 대해 이야기하면서 마오리는 "팬들의 니즈를 바탕으로 다양한 채널을 찾아보고 시간을 들여 조사한 끝에 이 사업을 점진적으로 구축해 나갔다"고 말했다.
마오리는 현재 5년째 사업을 운영하고 있습니다. 한 명의 직원과 함께 대부분의 제품을 자동 배송하고 있으며, 수십 개의 플랫폼에서 판매되는 제품을 위안화로 판매하고 있습니다. 가격이 높을수록 해당 플랫폼의 신규 참여 업체가 많거나 인기가 높거나, 신원 인증 절차를 우회하기가 더 어렵다는 의미입니다.
"일단 설치만 하면 기본적으로 자동화되어 있고, 이제는 AI 지원 기능까지 제공되니 말할 것도 없죠."라고 그는 말했다. "운영에 많은 사람이 필요하지 않습니다." 예외는 시장 상황이 좋을 때, 즉 새로운 프로젝트가 많을 때인데, 그는 하루에 최대 12시간까지 일할 수 있다. 시장 상황이 좋지 않을 때는 X 시스템 운영에 모든 시간을 쏟는다.
그는 자신의 사업을 "블록체인 업계의 모든 팬들을 위한 작은 가게"라고 설명했습니다.
그의 고객은 중국 본토, 홍콩, 대만, 말레이시아, 한국, 미국 등 중국어권 전역에 분포되어 있습니다. 특히 중국 본토 사용자들은 직접적인 요구 사항이 더 많습니다. 많은 IPO 플랫폼이 중국 IP 주소를 차단하고, 여권이나 신분증을 업로드하면 시스템에서 자동으로 거부하는데, 이의를 제기하거나 설명을 들을 방법이 없습니다.
"사람들은 활동에 참여하기 위해 계정을 구매합니다."라고 마올리는 말했다. 그는 계정을 제공할 때마다 다음과 같은 위험 경고를 포함시킨다. "이 계정은 타인의 정보를 사용하여 등록되었으므로 플랫폼에 큰 금액을 보관하지 마십시오. 소액으로 참여하고 필요할 때 인출하십시오." 그가 지적하는 "위험"은 원래 소유자가 언제든지 계정을 되찾을 수 있다는 점이며, 타인의 신원 정보를 사용하여 금융 계정을 등록하는 것은 대부분의 관할권에서 신분 도용에 해당한다는 것이다.
새롭게 부상하는 산업 사슬
주문 하나가 어떻게 완료될까요? 마올리는 전체 과정을 설명했습니다. 사전 상담, 결제, "자격을 갖춘 외국인"과의 연락, 외국인은 사전 교육을 받은 절차에 따라 업무를 수행하고, 고객 신원 확인(KYC)을 완료합니다. 그러면 계좌가 구매자에게 이전되고, 구매자는 보안 설정을 확인하고 수정하며, 주문이 완료됩니다.
그의 가장 기억에 남는 고객은 한국인 남성으로, 전문 창업 육성팀의 팀장이었으며 항상 대량 주문을 했다. "그는 항상 프로젝트 팀과 협력하여 엄청난 수의 계정을 구매하곤 했습니다."라고 마올리는 말했다. "그는 저를 통해 많은 돈을 벌었다고 말했지만, 사실 저는 큰돈을 벌지 못했습니다. 그는 리소스로 돈을 벌었고, 저는 KYC(고객 신원 확인) 서비스로 힘들게 번 돈을 벌었습니다."
다시 말해, 이 산업 사슬은 여러 단계로 이루어져 있습니다. 수요자 역할을 하는 한국의 스타트업 육성팀들은 계정을 통해 프로젝트 구독에 대량으로 참여하여 수익을 얻습니다. 마올리와 같은 중개업체가 존재하는 이유도 바로 이 때문입니다. 가장 아래 단계에는 정보 검증을 제공하는 "외국인"들이 있습니다. 이들은 필요한 KYC 절차를 완료하고 그 대가로 소액의 수수료를 받습니다.
이 "외국인"들은 전 세계 각지에서 옵니다. 동남아시아, 동아프리카, 라틴 아메리카 등지에서 "온라인 아르바이트"라는 명목으로 주문을 받아 고개를 끄덕이거나 흔들거나 눈을 깜빡이는 등의 동작을 수행하고, 그 대가로 몇 달러에서 수십 달러에 이르는 보상을 받습니다.
마올리는 "외국인"들에게 얼마를 주었는지 구체적으로 밝히지 않았지만, 러시아 포럼에 유포된 모집 게시물에는 "얼굴만 있으면 됩니다. WhatsApp을 통한 완벽한 영상 인증. 한 번에 1,500~2,000루블(약 17~23달러)을 하루에 여러 번 지급합니다."라고 적혀 있었습니다.
월드코인은 캄보디아와 케냐에 구형 홍채 스캔 장비를 배치하면서 이 현상을 잠시 주목받게 했습니다. 30달러 미만의 가격으로 월드 ID를 거래하는 암시장이 생겨났고, 2024년에는 태국 당국이 수집된 120만 건의 홍채 데이터 세트를 삭제하도록 명령했으며, 인도네시아는 월드코인의 모든 활동을 중단시켰습니다. 하지만 월드코인은 빙산의 일각에 불과하며, 브랜드가 있고 언론인들이 조사할 만한 이야깃거리가 있는 부분일 뿐입니다.
가격 책정에는 또 다른 논리가 있습니다. 마올리는 "지역이 발전할수록 KYC 비용이 더 많이 든다"며 "제안하는 수수료가 아침 식사조차 사 먹을 수 없을 정도로 적으면 고객은 협조하지 않을 것"이라고 말했습니다. 특히 미국에서 오는 주문은 가장 까다로운데, 때로는 고객이 외국인을 뉴욕으로 데려와 직접 서류 작업을 완료해야 하는 경우도 있습니다.
그가 처리하는 모든 거래에는 사후 조건이 따르는데, 그는 "첫 로그인" 성공만 보장합니다. "모든 거래소나 플랫폼의 위험 관리 규칙을 우리가 통제할 수는 없기 때문입니다. 언제든 규칙이 변경될 수 있죠."라고 그는 설명합니다. 구매자가 계정을 받으면 가장 먼저 해야 할 일은 연결된 이메일 주소를 변경하고, 2단계 인증을 설정하고, 알 수 없는 기기를 차단하는 것입니다. 이러한 조치가 가능한 시간은 단 몇 시간밖에 되지 않을 수 있습니다.
그는 또한 불가능한 상황도 있다고 인정했습니다. "로그인할 때마다 얼굴 인식이 필요한 계정은 만들 수 없습니다. 외국인들이 로그인할 때마다 얼굴 스캔을 받기 위해 중국에 계속해서 갈 수는 없으니까요." 그는 덧붙여 "이러한 논리에 따르면, 위험 관리가 매우 엄격한 플랫폼은 대개 사용자나 데이터가 부족하지 않고, 특별히 파격적인 프로모션을 제공하지 않기 때문에 구매하는 사람이 거의 없을 것입니다."라고 말했습니다.
Web3 KYC, 문틀만 있는 텅 빈 문.
메기는 자신이 하는 일을 명확히 이해하고 있습니다.
암호화폐 업계의 KYC(고객확인제도)가 본래의 목적을 제대로 달성하고 있는지 묻는 질문에 그는 "KYC는 누구나 아는 관문입니다. 플랫폼과 사용자 모두 자신이 무엇을 하고 있는지 알고 있습니다. 진정으로 이 업계에 참여하고 싶어하는 사람들에게 KYC는 장애물이 아니라 일종의 심사 절차일 뿐입니다."라고 답했습니다.
그의 설명에 따르면, 이는 모두에게 이득이 되는 거래였다. 사용자들은 플랫폼에 접근할 수 있게 되었고, 거래소는 새로운 사용자와 데이터를 얻었으며, 그는 서비스 수수료를 받았다. "모두에게 이득이 되는 거래였죠."라고 그는 말했다.
그가 남긴 사후 공지에는 숨겨진 중요한 내용이 있습니다. "이 계정은 타인의 정보를 이용해 등록되었으므로 플랫폼에 큰 금액을 보관하지 마십시오. 소액으로 참여하고 필요할 때 인출하십시오." 여기서 말하는 "외국인"은 경험이 풍부하고 유료로 참여하는 사람입니다. 하지만 "타인"이라는 단어는 계정 뒤에 실제 사람이 존재하며, 언제든 자신의 권리를 주장할 수 있음을 암시합니다.
하지만 코인데스크의 조사에 따르면, 더 큰 시장에서는 일부 계정이 실제 거주자의 이름, 주소, 사회보장번호와 본인도 모르게 연결되어 있는 것으로 드러났습니다. 이러한 개인들은 모두에게 이익이 되는 "윈윈윈" 시나리오의 대상이 아닙니다.
마올리는 이 시장에서 인터뷰에 응하는 몇 안 되는 사람 중 한 명입니다. 그의 뒤에는 약 50만 명의 참여자와 100만 건에 달하는 판매 게시물, 그리고 여전히 작동 중인 그림자 시스템이 존재합니다.
참고: 본 기사에 언급된 텔레그램 대화 기록 및 온체인 데이터는 저자가 직접 조사하여 얻은 것입니다.
