브라질 은행권 KYC: BCB 요구사항, 규정 변화와 2025년 사기 차단 전략

Key takeaways
 

2025년 1분기 브라질에서 사기 시도 347만 건(약 2.2초당 1건) 발생, 은행/카드 부문이 54% 차지.

2025년 7월 사건 이후 BCB가 일부 참여자에 건당 R$ 15,000 상한을 도입하고, 합리적 의심 계정으로의 지급은 의무 거절.

효과적 방어는 문서 검증, 라이브니스 기반 생체인증, 디바이스 신호(IN 491)와 상시 모니터링의 결합.

Didit은 더 많은 자동화, 노코드/API 워크플로, 무료·무제한 KYC 요금제와 투명한 가격으로 사기를 줄입니다.

브라질은 심각한 사기 리스크에 직면해 있습니다. 2025년 1분기에만 347만+ 건(약 2.2초마다 1건)의 시도가 있었고, 같은 기간 은행/카드가 **54%**를 차지했습니다. 또한 2025년 7월에는 Pix 생태계 연결 사업자를 노린 대규모 사이버 공격으로 최소 R$ 4억이 유출되고 여러 기관이 영향을 받으며 SPB와의 핵심 연결부 취약성이 드러났습니다.

이에 **브라질 중앙은행(BCB)**은 일부 참여자에 건당 R$ 15,000 상한을 설정하고, 사기 합리적 의심이 있는 수취계정으로의 지급을 의무적으로 거절하도록 규정을 강화했습니다.

브라질 은행 사기가 걱정된다면, 본 문서는 KYC/AML 프로세스, 규정 변화, 그리고 고객 경험을 해치지 않는 반사기 방어법을 명확히 정리합니다.

KYC란? 브라질 맥락에서 CIP와의 차이

흔히 함께 언급되지만 KYC(고객알기)와 CIP(고객식별프로그램)은 다릅니다. KYC는 고객 생애주기 전반의 식별·검증·위험 프로파일링 프레임워크이고, CIP는 고객이 제공한 정보(이름, 생년 등)를 확인하는 구체 절차입니다.

브라질 은행권에서는 **CIP가 PLD/FT(AML/CFT) 프레임워크의 ‘procedimentos de identificação do cliente’**에 해당하며, 규제당국이 요구하는 지속적 KYC의 기반이 됩니다.

브라질 규정은 위험 기반 접근을 강화합니다. Circular BCB 3.978/2020과 후속 조정(예: Resolução BCB 119/2021)은 고객 식별/검증과 상시 모니터링을 생애주기 전반에 걸쳐 유지하도록 요구합니다. 실무적으로는, 가입 시 고객을 ‘알고’ 이후에도 계속 ‘알아가는’(행동 변화, 재검증, 감사 증적) 과정입니다.

여기에 KYC 실행을 좌우하는 개별 규정이 더해집니다. Resolução Conjunta nº 6/2023은 기관 간 사기 징후 데이터 표준 공유를 제도화해 빈틈을 막고 공조 차단을 가속합니다(BCB의 공개 FAQ 제공).

Pix 생태계에서는 Instrução Normativa BCB nº 491/2024가 거래 발신·키 관리 디바이스 등록/관리를 필수화했습니다. 미등록 디바이스에는 건당 R$ 200, 일일 R$ 1,000 한도가 적용됩니다.

마지막으로 2025년 사건 이후 Resolução BCB nº 501/2025가 제정되어, ‘합리적 사기 의심’ 수취계정으로의 지급 거절을 의무화하고 고객 통지를 요구합니다. 범위와 시한은 Nota 20832 참고.

브라질 은행 사기 단면

휴대폰 절도는 여전히 금융 범죄의 주요 관문입니다. 그래서 브라질 통신 부문 사기 차단이 핵심입니다. 범행 수법은 유사합니다. 기기를 탈취한 뒤 사회공학, 유출 자격증명, 협박 등으로 접근 권한을 따내고, 기기 통제를 확보하면 SMS·이메일 등 OTP를 가로채 금융 플랫폼에 접근합니다. 그때부터 사용자와 은행의 악몽이 시작되죠.

규모도 작지 않습니다. 2025년 1–3월 3,468,255건(≈ 2.2초마다 1건)이 집계되었고 이 중 은행/카드가 **1,871,979건(54%)**입니다. 인명·금전 피해로 보면 2024년 6월~2025년 6월 사이 2,400만+ 브라질인이 Pix 또는 가짜 보레토(boleto) 사기의 피해자였고, 1인당 평균 R$ 1,198, 총 피해 약 R$ 290억에 달합니다.

가짜 ‘보레토’란? 왜 중요한가요?

브라질의 **보레토(boleto bancário)**는 바코드 또는 QR이 있는 청구서입니다. 가짜 보레토는 이 코드가 조작되어 대금이 사기범 계정으로 송금되며, PDF/레이아웃은 그럴듯하게 보입니다. 대응은 인증 채널에서 수취인(이름·CNPJ), 발행은행, QR을 검증하고, **수취계정(신규·비정상)**의 KYC를 강화하는 것입니다.

딥페이크·SIM 스와프·대리인증: 단일 수단으로는 부족

단발성 셀피 기반 생체인증만으로는 위조와 딥페이크를 막기 어렵습니다. 문서 검증 + 1:1 얼굴대조 + 라이브니스 + 디바이스/행동 신호를 결합한 심층 방어가 필요하며, 특히 민감 거래 승인에 강한 인증이 요구됩니다.

실무의 빈틈도 메워야 합니다. 브라질에서 널리 쓰이는 일부 플랫폼은 한계가 드러났습니다. IDWall은 수작업 검토 의존도가 높아 느리고 비싸며, Unico는 사진·CPF 중심의 이분법적 위험평가에 치우쳐 문서검증·AML·유연한 워크플로를 갖춘 엔드투엔드 플랫폼이 부족합니다.

대규모 사기 환경에서는 이런 한계가 곧 손실과 마찰로 이어집니다.

2025년 은행 규제 프레임: 핵심 규정

• Resolução Conjunta nº 6/2023 (BCB/CMN): 기관 간 사기 징후/데이터 표준 공유 의무화로 공조 대응 가속. 실무 FAQ 제공.
• Instrução Normativa BCB nº 491/2024: Pix 발신/키 관리 디바이스 등록·관리 가이드. 미등록 디바이스는 건당 R$ 200, 일일 R$ 1,000 한도.
• BCB 패키지 — 2025년 9월(Res. 496, 497, 498): 지급인 계좌 제공자가 미인가 IP이거나 PSTI 경유 RSFN 연결 시 Pix/TED 건당 R$ 15,000 상한. 통제수단 입증 시 상향 가능. Res. 498은 PSTI 인증 요건(거버넌스, 보안, 모니터링, 감사)을 명시.
• Res. BCB nº 501/2025(9월 11일): 합리적 의심 계정으로의 지급 거절 의무화, 즉시 시행, 단기간 시스템 개편 요구. Nota 20832 참조.

어떻게 막나: 은행 KYC에 적용하는 심층 방어

1. 문서 교차검증: OCR·AI로 변조 탐지, 공식 소스 대조, IP/지리 상관분석.
2. 생체인증: 1:1 얼굴대조, 라이브니스, 생체 기반 재인증으로 위험 거래에 신뢰 자격 재사용.
3. 상시 모니터링: 제재/PEP 리스트, 부정적 미디어, 공유 블랙리스트(RC 6/2023) 대조와 실시간 알림.
4. 추적·감사 가능한 동의: 디바이스 변경, Pix 키, 한도 등에 대한 검증·철회 가능한 동의 이력.
5. Celular Seguro 연동: 휴대폰 절도 즉시 원클릭 잠금, 은행/당국과 신호 신속 교환.

Pix 생태계 모범 사례

2025년 7월 Pix 연결 사업자 사건은 핵심 3자 리스크를 부각했습니다. 보도에 따르면 R$ 4억 이상이 유출되고 다수 기관이 영향 받았습니다. 규제 대응은 신속했습니다. 미인가 IP 또는 PSTI 연결 주체에 건당 R$ 15,000 상한을 부과하고, 며칠 뒤 의심 계정 지급 거절을 의무화해 은행의 판단·근거 책임을 강화했습니다.

Didit은 브라질 은행의 사기를 어떻게 줄이나

온보딩 병목 없이 사기를 줄여야 하는 컴플라이언스 팀을 위해 Didit은 더 많은 신호, 더 높은 자동화, 더 적은 수작업을 제공합니다. 플랫폼은 문서 검증, 라이브니스 기반 얼굴인식·1:1 매칭, 공식 소스 대조, AML 스크리닝을 결합해 대리인증, 합성신원, 딥페이크를 수작업 흐름보다 깊이 차단합니다.

Didit의 핵심은 세 층입니다.

1. 신분증 + 생체인증(ID Verification, 1:1 Face Match, Liveness Detection)으로 실제 당사자·실시간을 보장.
2. 정부/공식 소스 대조(가능 시)로 카메라가 포착한 정보를 강화.
3. AML 스크리닝과 상시 모니터링으로 글로벌 제재/PEP/부정 미디어와 상시 대조, 실시간 위험 재평가.

이 조합은 사기와 오탐을 동시에 감소시키고 감사 추적성을 확보합니다. 또한 노코드 워크플로로 분 단위 론칭, 개방형 API/SDK로 유연한 커스터마이징이 가능합니다. 가격도 투명합니다. 우리는 업계 최초의 무료·무제한 KYC 요금제를 제공하며, 프리미엄 기능은 구독/최소 이용료 없이, 선불 크레딧은 소멸되지 않으며, 완료된 검증에만 과금해 비용을 정밀 제어합니다.

컴플라이언스 팀의 결과: 적은 수작업, 더 빠른 가입, 더 높은 전환, 즉시적인 통제—UX를 해치지 않으며 샌드박스로 즉시 시험 가능.