도용 및 합성 신분증을 이용한 대출 사기: 작동 방식 및 방지법 (KO)

실제 이름. 실제 사회보장번호. 수년간 쌓아온 신용 기록 — 하지만 신청서 뒤에 있는 사람은 실제 신분증의 주인이 아닙니다. 심지어 실제 인물이 아닐 수도 있습니다.

도용 및 합성 신분증을 이용한 대출 사기는 대부분의 전통적인 신용 통제를 우회합니다. 입력 정보가 합법적으로 보이기 때문입니다. 문서는 스캔을 통과하고, 신원에는 신용 파일이 있으며, 신청서에는 명백한 불일치가 없습니다. 사기는 돈이 사라질 때까지 드러나지 않습니다.

이 게시물에서는 이러한 공격이 작동하는 방식, 각 유형의 차이점, 그리고 신청 단계에서 이를 일관되게 막는 방법을 설명합니다.

주요 내용

• 합성 신분증 사기는 실제 SSN, 그럴듯한 이름, 조작된 신용 기록 등 실제와 조작된 조각들을 조합하여 가상의 인물을 만듭니다. '버스트아웃'이 발생할 때까지 피해자가 이를 신고하지 않습니다.
• 제3자 대출 사기는 완전히 도용된 신분증을 사용합니다. 실제 인물은 자신의 이름으로 대출이 이루어졌다는 사실을 전혀 알지 못합니다.
• 두 공격 유형 모두 동일한 취약점을 공유합니다. 즉, 문서는 확인하지만 문서 뒤의 실제 인물은 확인하지 않는 대출 기관입니다.
• $0.33의 KYC 확인(신분증 확인 + 수동 생체 인식 + 얼굴 매칭 1:1 + 장치 및 IP 분석)으로 신용 결정이 내려지기 전에 이 격차를 해소할 수 있습니다.
• 장치 및 IP 분석은 개별 신분 확인으로는 놓칠 수 있는 반복 신청 패턴과 사기 조직을 포착합니다.

대출 사기가 실제로 작동하는 방식

제3자 사기: 도용된 신분증

사기꾼은 데이터 유출, 다크웹 구매 또는 피싱을 통해 실제 인물의 신분증을 획득하고 이를 사용하여 신용 대출을 신청합니다. 피해자는 결국 자신의 신용 보고서에서 대출을 발견하게 되며, 사기꾼은 갚을 의도가 전혀 없었습니다.

대부분의 대출 확인은 문서 중심적이며 과거 지향적입니다. 문서가 진짜인지, 세부 정보가 신용 파일과 일치하는지 확인합니다. 두 단계 모두 문서를 제출하는 사람이 문서 소유자인지 확인하지 않습니다.

합성 신분증 사기: 조작된 인물

합성 신분증 사기(SIF)는 초기에 신고할 피해자가 없기 때문에 잡기가 더 어렵습니다. 합성 신분증은 다음을 결합합니다.

• 자신의 신용을 모니터링할 가능성이 낮은 어린이, 노인 또는 최근 사망한 사람의 실제 SSN 또는 주민등록번호
• 그럴듯하지만 SSN 소유자와는 관련 없는 조작된 이름 및 생년월일
• 합성 신분증을 합법적인 계정에 연결하여 몇 달에 걸쳐 얇은 파일 프로필을 구축하는 구성된 신용 기록

합성 신분증이 사용 가능한 신용 점수를 얻으면 사기꾼은 대출 및 카드를 신청하고, 한도를 높일 만큼만 부채를 갚다가 버스트아웃을 실행합니다. 즉, 모든 신용 한도를 동시에 최대로 사용합니다. 대출 기관은 상각을 떠안게 됩니다. SSN 소유자는 자신의 번호가 낯선 사람의 신용 파일에 연결되어 있음을 발견합니다.

1차 사기 및 조직

1차 사기는 사기 의도를 가진 실제 신분증을 사용합니다. 즉, 대출자는 갚을 계획이 전혀 없습니다. 개별 사례는 신분 신호만으로는 잡기 어렵지만, 1차 사기는 조직적인 조직으로 묶입니다. 이는 비공식 네트워크를 통해 모집된 개인이 각각 대출을 받고, 자금을 이동시키는 조정자가 있는 조직입니다. 장치 및 IP 신호는 이러한 조직을 드러냅니다. 즉, 동일한 장치, 서브넷 또는 물리적 위치에서 여러 응용 프로그램이 발생합니다.

대출 기관이 남겨둔 확인 격차

문서 스캔은 문서가 명백히 위조되지 않았음을 확인합니다. 신용 조사는 이름과 신분증 번호에 대한 기록이 존재함을 확인합니다. 두 확인 모두 중요한 격차를 해소하지 못합니다. 즉, 신청자가 문서 소유자이며, 현재 살아있는지 확인하지 못합니다.

생체 인식 없는 셀카 캡처는 인쇄된 사진을 들고 있거나 카메라 앞에서 비디오를 재생하는 것으로 쉽게 무력화됩니다. 이것이 생체 인식 생동감과 얼굴 매칭이 해소하는 격차입니다.

Didit이 돕는 방법

$0.33 KYC 핵심 흐름

Didit의 핵심 확인 흐름은 단일 세션에서 총 $0.33로 네 가지 검사를 실행합니다.

신분증 확인 ($0.15) — 문서 진위 여부: 보안 기능, MRZ 일관성, 사용 가능한 경우 NFC 칩 데이터, 200개 이상의 사기 신호. 220개 이상의 국가 및 지역에서 14,000개 이상의 문서 유형을 다룹니다.

수동 생체 인식 ($0.10) — 2초 이내의 단일 프레임 생체 인식. 사용자가 눈을 깜빡이거나 고개를 돌리도록 요청하지 않고 인쇄 공격, 비디오 재생 및 AI 생성 딥페이크 주입을 감지합니다. 딥페이크는 빠르게 성장하는 공격 벡터입니다. 수동 생체 인식은 등록 시 이를 막습니다.

얼굴 매칭 1:1 ($0.05) — 실제 얼굴이 문서 사진과 일치하는지 확인합니다. 사람과 문서가 일치하지 않으면 플래그가 지정됩니다.

장치 및 IP 분석 ($0.03) — 모든 세션에서 장치 지문, IP 인텔리전스 및 마스킹된 트래픽 감지가 자동으로 실행됩니다. 별도의 통합이 필요하지 않습니다.

이들은 함께 도용 및 합성 사기의 근간이 되는 신원 격차를 해소합니다. 실제 문서 + 실제 얼굴 + 일치하는 얼굴 + 장치 네트워크 컨텍스트를 통해 말이죠.

AML 심사 ($0.20)

대출 사기와 자금 세탁은 종종 함께 발생합니다. Didit의 AML 심사는 신청 시 1,300개 이상의 제재, PEP(정치적 주요 인물) 및 불리한 미디어 목록을 확인하여 신용 결정이 내려지기 전에 플래그가 지정된 개인을 포착합니다.

사기 조직을 위한 장치 및 IP 분석

개별 신분 확인은 개별 사기꾼을 잡습니다. 사기 조직에는 네트워크 신호가 필요합니다.

Didit은 모든 세션에 대해 device_fingerprint를 반환하고 이를 계정의 모든 이전 세션과 비교합니다. 다른 신분증 뒤에 동일한 장치: DUPLICATED_DEVICE_FINGERPRINT. 시도 사이에 장치 재설정: DEVICE_RECOVERED_HIGH_CONFIDENCE. 일상적인 대출 신청에 VPN 또는 Tor 트래픽: PRIVATE_NETWORK_DETECTED. 여러 신청서에 걸쳐 동일한 IP: DUPLICATED_IP_ADDRESS.

각 경고에 대한 조치(승인, 수동 검토 또는 강제 거절)는 Business Console에서 구성합니다. 사용자 정의 데이터 파이프라인이 필요하지 않습니다.

사용 사례

소비자 대출 및 개인 대출 — 신용 결정 전에 도용 신분증 신청자를 차단합니다. 수동 생체 인식은 대부분의 셀카 캡처 단계에서 막지 못하는 사진 및 비디오 공격을 무력화합니다.

BNPL — 승인이 빠르고 한도가 점진적으로 증가하기 때문에 합성 신분증 사기가 BNPL에 집중됩니다. $0.33 핵심 흐름은 추론에 2초 미만을 추가합니다.

모기지 및 자동차 대출 — 높은 대출 금액은 낮은 사기율도 증폭시킵니다. 대출 개설 시 AML 심사는 파일이 심사관에게 도달하기 전에 플래그가 지정된 개인을 포착합니다.

신용 한도 증액 — 한도를 실질적으로 높이기 전에 생동감 및 장치 지문을 다시 확인합니다. 버스트아웃에는 여유 공간이 필요합니다. 변곡점을 포착하여 노출을 제한합니다.

Didit과 통합하는 방법

하나의 API 호출로 세션을 생성합니다. Didit 호스팅 흐름은 문서 캡처, 생동감, 얼굴 매칭 및 장치/IP를 한 번에 처리합니다.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "applicant-456",
    "callback": "https://yourapp.com/kyc-complete"
  }'

신청자를 위해 session.url을 열고, GET /v3/session/{sessionId}/decision/ 또는 session.status.updated 웹훅을 통해 결과를 읽습니다. 페이로드에는 문서 판정, 생동감 및 얼굴 매칭 결과, AML 상태, 그리고 장치 경고와 함께 ip_analyses[]가 포함됩니다.

웹, iOS, Android, React Native 및 Flutter용 SDK를 사용할 수 있습니다. 모듈 구성은 Business Console에 있으며, 워크플로 튜닝을 위한 코드 변경은 필요하지 않습니다.

자주 묻는 질문

수동 생체 인식이 실제로 딥페이크 공격을 막을 수 있나요?

예. 생성된 비디오를 카메라 스트림에 주입하는 딥페이크 주입은 수동 생체 인식이 감지하도록 구축된 공격 중 하나입니다. 이는 표준 인쇄 및 화면 공격과 함께 합성 생성 및 재생 주입 신호를 프레임에서 분석합니다. 능동 생체 인식은 더 위험한 흐름에 대한 챌린지 레이어를 추가하지만, 수동 생체 인식은 대부분의 대출 응용 프로그램에 충분합니다.

대출 기관에 대한 합성 신분증 사기와 전통적인 신분 도용의 차이점은 무엇인가요?

신분 도용의 경우 신용을 부인할 실제 피해자가 있습니다. 합성 사기의 경우 SSN 소유자는 자신의 번호가 다른 이름으로 사용되고 있다는 사실을 모르는 경우가 많습니다. '버스트아웃'이 발생할 때까지 이의 제기가 없을 수도 있습니다. 조작된 신청자는 다른 사람의 신분증에 대해 살아있는 일치하는 얼굴을 제시할 수 없습니다. 이것이 그들을 막는 검사입니다.

장치 및 IP 분석은 1차 사기 조직에 어떻게 도움이 되나요?

조직 구성원은 종종 공유 장치 또는 위치에서 짧은 시간 내에 신청합니다. DUPLICATED_DEVICE_FINGERPRINT 및 DUPLICATED_IP_ADDRESS는 이러한 클러스터를 실시간으로 드러냅니다. 다섯 명의 '다른' 신청자가 하나의 장치를 공유하는 것만으로도 지급 전에 다섯 명 모두를 수동 검토로 보낼 수 있습니다.

사기꾼이 VPN을 사용하거나 신청 사이에 장치 저장 공간을 지우면 어떻게 되나요?

PRIVATE_NETWORK_DETECTED는 VPN, 프록시 및 Tor 트래픽에서 발생합니다. 저장 공간이 지워진 경우, 복구 모델(DEVICE_RECOVERED_HIGH_CONFIDENCE)은 신호 벡터에서 세션을 이전에 본 장치에 다시 연결하여 합법적인 사용자를 불이익 없이 재설정을 포착합니다.

시작할 준비가 되셨나요?

신청 단계에서 대출 사기를 막는 데 사용자 정의 ML 파이프라인이나 몇 달 간의 통합이 필요하지 않습니다. $0.33 KYC 핵심 흐름은 도용 신분증 및 합성 신분증 공격이 의존하는 신원 격차를 해소하며, 장치 및 IP 분석은 개별 검사로는 볼 수 없는 네트워크 패턴을 드러냅니다.

• 모듈 알아보기 → 사용자 확인 문서 · AML 심사 · 장치 및 IP 분석
• 제품 보기 → didit.me/products/id-verification
• 가격 확인 → didit.me/pricing — 전체 KYC 흐름에 $0.33, 월 500회 무료 확인, 최소 금액 없음
• 무료로 시작하기 → business.didit.me