브라질 통신의 KYC: SIM 스와프 등 사기 어떻게 막을까

Key takeaways
 

SIM 스와프와 “Mão Fantasma”는 현재 브라질 모바일 사기의 핵심 벡터입니다. 사슬의 첫 고리인 통신사가 번호와 핵심 플로우를 보호하지 못하면 손실, 제재, 신뢰 하락을 겪게 됩니다.

전통적 검증은 유출된 정적 데이터, 취약 채널의 SMS OTP, 인적 프로세스 의존으로 실패합니다. 번호 이동과 SIM 교체/복제는 최핵심 구간으로, 강한 신원확인, 회선/번호 수준 신호, 대체 채널 확인, 유예 기간이 필요합니다.

규제: Anatel은 번호 이동 시 SMS 확인(응답 시간 창 포함)을 요구하며, 개정된 RGST와 RGC는 투명성과 추적 가능성을 강화합니다. SMS는 의무지만, 고위험 상황에서 강한 인증으로는 불충분합니다.

효과적 전략과 Didit의 역할: 실시간 KYC(신분증, 셀피, 라이브니스), 고영향 플로우에서의 생체+MFA, 회선 신호 기반 의사결정. 자동화·유연 플랫폼이 수기 검토 의존을 낮추고 탐지를 강화하며 손쉬운 통합과 투명한 가격을 제공합니다.

브라질은 디지털 범죄가 정점을 찍는 가운데 모바일 라인이 약한 고리로 드러났습니다. SIM 스와프는 공격자가 번호를 장악해 SMS로 오는 OTP(일회용 비밀번호)를 가로채 은행 계정과 민감한 금융 앱에 접근하게 합니다. 결과는? FEBRABAN(브라질 은행연합)에 따르면 2024년 은행권 손실이 R$ 10,1 bilhões에 달했습니다.

피해자는 금융권만이 아닙니다. 종종 첫 관문인 통신사도 신원 사기로 인해 직접 손실, 규제 제재, 고객 신뢰 하락을 겪습니다.

사기꾼의 modus operandi는 비교적 분명합니다. 사회공학으로 운영상의 약점을 파고들고, 다크웹에 유출(또는 도난)된 데이터로 검증을 통과합니다. 또 다른 위협으로 Mão Fantasma가 주목받고 있습니다. 피해자를 원격 액세스 앱 설치로 유도해, 모르게 휴대폰을 장악하고 사기성 금융 거래를 진행하는 방식입니다. 은행과 FEBRABAN은 전화 지시에 따른 앱 설치나 제3자의 원격 접근 허용을 금지하라고 권고합니다.

SIM 스와프란 무엇이며, 왜 브라질에서 늘고 있나

SIM 스와프는 브라질 통신 업계의 주요 위협 중 하나입니다. 범죄자는 사회공학과 다크웹 유출 데이터를 결합하여 통신사를 설득, 피해자 번호로 새 SIM을 발급받게 만듭니다.

번호를 장악한 뒤 공격자는 합법 사용자에게 가야 할 SMS OTP(로그인/계정 복구용)를 가로채며, 이는 계정 탈취(ATO)로 이어집니다.

SIM 스와프는 업계가 보고하는 상당한 성공률로 인해 계속 증가하고 있으며, 사기·보안 팀의 최우선 과제로 남아 있습니다.

왜 통신 시나리오에서 전통적 신원 확인이 실패할까?

브라질은 세계에서 가장 공격적인 사이버 범죄 환경 중 하나에 직면해 있습니다. 2초마다 신원 사기 시도가 발생하며, 많은 기업이 적시에 탐지·대응·차단하지 못합니다.

SIM 스와프 건수에 대한 공식 통계는 없지만, 매년 수만 명이 영향을 받는 것으로 추정됩니다.

핵심은 기존 도구와 프로세스의 취약성입니다. 브라질에서 널리 쓰이는 솔루션은 정적 검증, 수기 심사, 경직된 프로세스에 의존해 불충분함이 드러났고, 무엇보다 접근법 자체가 미흡합니다.

데이터 유출과 통신사의 취약점

대규모 데이터 유출로 인해 정적 데이터(CPF, 생년월일 등)만으로는 초기 기본 통제를 우회할 수 있습니다. 정보가 이미 공개된 상황에서 “아는 것” 기반 검증은 신원을 입증하지 못합니다.

더불어 많은 내부 프로세스가 여전히 사람 중심 검증에 과도하게 의존(오프라인 매장·콜센터)하며, 실시간 위험 신호 분석과는 거리가 있습니다.

그 결과 생태계는 다음과 같습니다.

• 합법 고객은 마찰을 겪지만, 공격자를 항상 막지는 못함
• 범죄자는 유출 정보를 활용해 SIM 복제, 계정 복구, 강제 번호 이동을 시도
• 의사결정은 약한 증거(정적 데이터)에 기대고, 강한 증거(라이브니스 포함 생체인증, 회선 신호, 기기 평판)는 부족

유출과 번호 이동: 보이지 않는 맹점

통신사 간 번호 이동과 SIM 교체/복제가 최상위 운영 리스크를 형성합니다. 이 구간을 통과하면 공격자는 번호를 장악하고, 그에 연동된 모든 인증도 장악합니다.

대응을 위해 통신사는 높은 보증수준의 표준을 채택해야 합니다.

• 신청 단계에서 강한 신원확인(신분증 + 셀피 + 라이브니스)을 앱/웹·콜센터·매장 전 채널에 적용
• 인증 채널 결정보다 먼저 번호/회선 신호 확인(회선 유형, SIM 사용 기간, 최근 스와프 징후)
• 대체 채널(푸시 또는 검증된 이메일)로 확인하고, 민감 변경에는 유예 기간 적용

브라질 규제는 무엇을 요구하나(실무 요약)

Anatel(브라질 통신규제기관)은 모바일 번호 이동을 SMS로 확인하도록 요구합니다. 메시지는 사용자의 현재 회선으로 전송되며, 회선 소유자는 최대 6시간 내 응답해야 합니다. 미응답 또는 “아니오” 응답 시 자동 취소됩니다. 이는 고위험 상황에서의 강한 인증을 대체하지 않지만, 모든 통신사가 준수해야 할 최저 규제 기준입니다.

또한 기관은 Regulamento Geral dos Serviços de Telecomunicações(RGST)를 승인해 통신 규정을 통합·업데이트했습니다.

아울러 **Regulamento Geral de Direitos do Consumidor(RGC)**도 2025년 9월에 업데이트·통합되어, 사용자 관계의 투명성·품질·가역성 의무를 강화했습니다. 이는 번호 이동, SIM 재발급, 데이터 변경의 고지·집행 방식과 분쟁 시 추적 가능성에 영향을 줍니다.

브라질 통신사를 위한 KYC 전략(2025)

적절한 도구와 프로세스로 통신사는 신원 사기를 유의미하게 감소시킬 수 있습니다.

• 온보딩 중 실시간 KYC. 신분증 검증, 1:1 얼굴 매칭, 라이브니스 감지로 합성·도용 신원 개통을 차단
• SIM 교체·번호 이동에 얼굴 생체+MFA. 핵심 프로세스에 생체 기반 MFA를 도입해 사회공학 공격의 문턱을 상향
• 위험 신호 기반 의사결정. SMS OTP 발송 전 위험 평가: 회선 유형, SIM 사용 기간, 최근 스와프 징후. 고위험이면 생체·푸시/검증 이메일 등 대체 경로, 저위험이면 정상 플로우 유지
• AI·행동 분석. 시간대, 위치, 요청 간격으로 이상 징후를 포착해 사전 차단

Didit은 통신사의 신원 사기 감소를 어떻게 돕는가

브라질은 예외적으로 높은 사기 볼륨에 직면해 있으며, 통신사의 최우선 과제는 SIM 스와프·사기성 번호 이동·민감 데이터 변경으로 인한 손실 축소입니다. Didit은 이를 핵심 목표로 설계된 신원 확인 플랫폼입니다.

운영 성과로는 무엇이 달라지나?

• 수기 감독 의존 축소. Didit은 대량 환경에서 수기 검토 의존도를 낮추고 탐지를 강화하며, 감사 추적성과 통제를 유지합니다.
• 글로벌 사기 인텔리전스. 전 세계 수천 건 사례를 학습해 패턴을 인식하고 즉시 대응합니다.
• 정부 소스 연계. 필수 반(反)사기 검증을 위해 정부 DB와 통합됩니다.
• 엔드투엔드 자동화. 수기 병목을 제거하고 온보딩/서비스 처리를 가속하면서 통제를 유지합니다.
• 유연·맞춤 워크플로. 티켓 없이 규칙 변경, 위험 시 추가 단계 삽입
• 투명성·통합 용이성. API와 노코드 모듈로 신속 론칭, 명확한 가격 체계

Didit이 흔한 시장 한계를 넘어서는 이유

전통 공급자가 정적 검증·수기 심사·경직된 프로세스에 의존하는 환경에서, Didit은 정부 소스와 연결된 자동화·오케스트레이션 레이어를 제공해 수기 의존을 줄이고 탐지를 높이며 경험을 통제합니다. 완전한 신원 검증과 글로벌 사기 패턴 베이스를 결합해 신규 개통, 번호 이동, SIM 교체를 실시간으로 판단합니다.