브라질의 사기: 왜 이렇게 높을까 (그리고 어떻게 제대로 막을까)

Key takeaways
 

브라질은 세계에서 가장 디지털화된 국가 중 하나이면서, 동시에 신원 사기의 타격이 큰 국가입니다. 2025년 1분기에만 사기 시도 190만 건을 넘어섰습니다.

휴대폰 절도, 분절된 민사 신원 체계, 허술한 동의·데이터 통제가 결합되어 조직범죄에 비옥한 환경을 제공합니다.

인력 검토나 1회성 생체인증 같은 전통적 검증만으로는 딥페이크·가짜 신분·INSS와 같은 시스템적 사기를 막기 어렵습니다.

효과적인 유일한 전략은 문서 검증 + 고급 생체인증 + 지속 모니터링 + 추적 가능한 동의를 결합한 심층 방어(Defense-in-Depth) 프레임워크이며, 공공·민간 협력이 뒷받침되어야 합니다.

브라질은 역설적인 상황에 놓여 있습니다. 세계 최고 수준의 디지털화를 이뤘지만, 동시에 신원 사기에 매우 취약합니다. 맥락을 위해 보면, 2025년 1분기에만 은행 사기 시도가 약 190만 건 발생해 2023년 집계를 시작한 이래 최고치를 기록했습니다.

우려는 이것뿐이 아닙니다. 2025년 2월까지 평균 2.2초마다 한 건의 공격이 발생해 전년 대비 약 40% 증가했습니다. 또한 브라질 데이터보호청(ANPD)은 2025년 8월에만 250건이 넘는 데이터 유출 사고를 집계했으며, 비밀번호 탈취는 전년 대비 160% 증가했습니다.

즉, 브라질의 신원 사기는 우연이 아니라 수익성 높은 사업입니다. 범죄조직은 물리적 절도, 소셜 엔지니어링, 인공지능, 그리고 몇 가지 규제 공백을 결합해 대규모 사기 운영을 만들어 냅니다.

이 글에서는 브라질에서 신원 사기를 어떻게 줄이고 막을지를 구체적으로 설명해, 사기가 기업의 구조적 비용이 되는 악순환을 끊을 수 있게 돕습니다.

문제의 해부: 브라질이 ‘비옥한’ 이유

브라질을 신원 사기의 온상으로 만드는 핵심 요인은 다섯 가지입니다.

• 초고도 디지털화와 모바일 경제. 2억 명이 넘는 브라질인이 인터넷에 접속하며, 브라질 중앙은행이 만든 실시간 결제 시스템인 Pix 같은 플랫폼은 사기범들이 상시 악용하고 있습니다.
• 범죄의 디지털화. 오프라인에서 온라인으로. 브라질인 10명 중 1명이 겪는 휴대폰 절도는 금융사기로 이어지는 관문입니다. 낮은 위험, 높은 보상이 특징입니다.
• 분절된 신원. 브라질의 *Registro Geral(RG)*는 역사적으로 취약했고, 사기범들은 이를 오랫동안 파고들었습니다. 최근에는 무려 45년간 자신을 영국 귀족의 후손이라 속인 판사 사례까지 드러났습니다.
• 동의·데이터 통제의 약점. 최근 INSS(국가사회보장연구소)를 통해 400만 명이 넘는 연금 수급자를 겨냥한 사기 스킴이 폭로됐고, 피해액은 약 63억 헤알로 추산됩니다. 2025년 7월 연방대법원(STF)은 피해자 환급 계획을 승인했으며, 2025년 5월부터는 급여담보대출 해제에 생체인증 의무화가 시행 중입니다.
• 낮은 디지털 리터러시. 위조 문서·셀피로 구성된 ‘사기 키트’가 손쉽게 구할 수 있습니다. 여기에 AI·딥페이크 확산이 더해져 디지털 역량이 낮은 집단이 주요 타깃이 됩니다.

휴대폰 절도에서 신원 사기로: 범죄 가치사슬

브라질에서는 단순한 휴대폰 절도가 대규모 사기 작전의 일부가 되곤 합니다. 이 나라는 해당 유형 절도에서 ‘세계 정상’으로, 매년 브라질인 10명 중 1명이 피해자가 됩니다. 도난 기기는 중고로 다시 시장에 잘 나오지 않으며, 범죄자들은 기기 자체보다 기기가 담고 있는 데이터와 접근 권한에 더 큰 관심을 둡니다.

이처럼 사소해 보이는 사건은 다음과 같이 신원·금융 사기로 이어집니다.

1. 휴대폰 물리적 절도. 대체로 길거리에서 발생. 조직범은 사회경제적 프로필에 따라 ‘주문형’ 범행을 벌이기도 합니다.
2. 디지털 생태계 초기 침투. 소셜 엔지니어링, 약한 비밀번호, 사용자 협박 등으로 기기를 열고, 메시지 앱·은행·지갑에 접근합니다.
3. 계정 탈취(ATO). 합법 사용자 계정에 접근하면 다양한 사기가 가능합니다.
   • SMS/이메일로 비밀번호 재설정 → 브라질의 큰 문제인 SIM 스와프로 확장.
   • 2FA(이중인증) 코드 가로채기.
   • WhatsApp·소셜·텔레그램·이메일 계정 장악 후 주변인을 속여 피해를 확대.
4. 사기성 온보딩·신원 도용. 갤러리 사진, AI 딥페이크, 위조 문서를 활용해 디지털 은행/핀테크에 신규 계정을 개설하고 피해자 명의로 대출을 받습니다.
5. 신속한 현금화. 접근권을 확보하면 다음이 쉬워집니다.
   • Pix로 즉시 이체.
   • 소액 대출 신청.
   • 마켓플레이스·온라인 쇼핑 결제.
   • 다크웹에 데이터 판매.
6. 세탁과 확장. 자금은 ‘디지털 바지사장(digital mule)’이나 핀테크·투자펀드를 통해 순환합니다. 2020~2024년 사이 PCC 연계 조직은 520억 헤알 이상을 세탁한 것으로 드러났습니다.

범죄의 계산식: 낮은 리스크, 높은 수익

사슬의 각 단계가 초기 절도의 가치를 끌어올립니다. 피해자가 계정 접근권을 완전히 되찾기까지 수주가 걸리지만, 범죄자들은 즉시 수익을 거둡니다. 약 500달러짜리 중급형 스마트폰 한 대로 대출·거래를 통해 수천 달러를 만들어낼 수 있습니다. 체포 확률도 낮습니다. 경찰은 폭력 범죄 수사에 우선순위를 두고, 디지털 사기는 상대적으로 후순위인 경우가 많기 때문입니다.

금융기관·핀테크에 미치는 영향

사기는 세 가지 축에서 비용을 발생시킵니다.

• 직접 비용: 사기 손실, 차지백(chargeback), 회수 불능 대출.
• 평판 비용: 금융·커머스 앱에 대한 불신 확대.
• 운영 비용: 고객 지원, 법적 분쟁, 복구 프로세스.

여기에 적절한 통제가 부재했다고 판단되면 브라질 중앙은행·ANPD의 제재가 추가될 수 있습니다.

전통적 접근이 실패하는 이유

브라질의 많은 은행·핀테크나 iGaming 사업자는 현재 사기 수준의 정교함을 따라가지 못하는 검증 방식을 쓰고 있습니다. 몇 년 전 ‘방어막’이던 것들이 지금은 명백히 역부족입니다.

첫째, 인력 검토는 확장되지 않습니다. 문서·셀피의 수작업 검증은 느리고 비싸며, 점점 완벽해지는 위조·딥페이크를 이기기 어렵습니다.

둘째, 단일 생체인증은 ‘안도감’만 줄 뿐입니다. 온보딩에서 한 번 찍는 셀피만으로는 강력한 라이브니스(liveness)와 보조 신호(IP, 위치, 문서 분석)가 없는 한 충분하지 않습니다.

셋째, 검증을 여전히 온보딩 시점의 단발성 이벤트로 보는 시각이 문제입니다. 주기적 생체 인증과 무작위 IP·위치 점검은 사기율을 크게 낮춥니다.

무엇이 통하는가: 심층 방어 프레임워크

브라질처럼 뿌리 깊은 사기에는 다계층 방어 아키텍처가 해법입니다. 마찰·비용만 늘리자는 게 아니라, 여러 층을 결합해 상호 보완·강화하는 구조를 구축해야 합니다.

핵심 축 하나는 민사 신원과 디지털 자격증명의 강화입니다. 국가 신분증(CIN)은 중요한 진전이지만, 현대적 인증(생체인증 등)과 함께 가야 합니다.

검증 프로세스는 안티프로드 관점으로 진화해야 합니다. 즉, 문서 검증, 라이브니스 포함 생체인증, 1:1 얼굴 매칭, 디바이스·IP 신호, 실시간 행위 분석을 통합해야 합니다.

지속 모니터링은 이미 많은 규제 대상에게 의무이며, 모든 검증 흐름에 도입되어야 합니다. 거래 패턴 프로파일링, 제재·PEP 리스트 대조, 이상 징후 탐지 등이 필수입니다.

또 하나의 기둥은 추적 가능한 동의입니다. INSS 사례는 검증·철회 가능한 기록이 없으면 시스템적 사기가 ‘시간 문제’임을 보여줬습니다. 정기 감사와 민감 변경 시 추가 생체인증은 기본값이 되어야 합니다.

마지막으로 사람이 중요합니다. 특히 취약계층을 위한 디지털 교육과 더불어, 즉시 잠금 버튼과 의심 활동 사전 알림 같은 신속 대응 도구가 필요합니다.

공공정책과 공공·민간 협력

브라질의 신원 사기는 민간 기술만으로는 해결할 수 없습니다. 조정된 실행 프레임이 필요합니다. 공공부문은 명확한 컴플라이언스·동의 기준을 제시하고, 독립 감사를 수행하며, 사기를 방조한 주체를 제재해야 합니다. 또한 대규모 디지털 리터러시 캠페인을 주도해야 합니다(특히 고령층·취약계층 대상).

한편 은행·핀테크·통신사·정부기관의 협력은 SIM 스와프나 유출 데이터 재판매를 막는 데 필수입니다. 2025년 은행 앱 연동으로 확대된 Celular Seguro 프로그램은 올바른 방향을 보여줍니다.

컴플라이언스(그리고 CFO)가 주목할 KPI

사기 방지는 ‘비용’이 아니라 가치 제안에 대한 투자입니다. 이를 입증하려면 올바른 KPI를 측정해야 합니다.

• 정량 지표: 사기/차지백 손실 감소, 운영비 절감, 검증 시간 단축, 합법 사용자의 승인율 상승.
• 정성 지표: 온보딩 마찰 감소, 사용자 신뢰·만족도 상승.

이 숫자들이 갖춰지면, 재무부서도 사기 방지가 보호를 넘어 수익성 개선으로 이어짐을 인정하게 됩니다.

Didit: 브라질에서 신원을 검증하고 사기를 막는 최적의 솔루션

브라질 기업은 KYC/AML 규정 준수와 더 정교해지는 사기 방지라는 이중 과제를 안고 있습니다. 문제는 널리 쓰이는 로컬 솔루션의 한계입니다. IDWall은 인력 검토 의존도가 지나치게 높아 온보딩을 느리게 만들고, Unico는 엔드투엔드 플랫폼이 부족해 범죄자들이 파고들 틈을 남깁니다.

Didit은 이 방정식을 바꾸기 위해 탄생했습니다. 브라질의 사기 현실에 맞춰 설계되어, 문서 검증·고급 생체인증·공식 소스 대조·글로벌 스크리닝을 유연하고 개방적이며 경제적인 단일 플랫폼으로 제공합니다. 게다가 무료·무제한 KYC 플랜을 제공해, 어떤 기업이든 비용 장벽 없이 사용자 검증을 시작할 수 있습니다.

Didit으로 온보딩부터 생체 인증까지 맞춤형 검증 플로우를 구축하고, 브라질의 빠르게 변하는 규제 환경에 항상 보조를 맞추세요. 결과는 분명합니다. 사기는 줄고, 신뢰는 커지며, 검증이 진짜 비즈니스 가치를 만듭니다.