Veriftools: 9달러짜리 가짜 신분증 판매 조직과 KYC의 대응책
위조 여권은 비싸야 마땅합니다. 예전에는 그랬습니다. 지난 세기 대부분 동안, 그럴듯한 위조 여권을 만들려면 숙련된 기술과 진짜 재료, 그리고 시간이 필요했습니다. 그러다 Veriftools 같은 서비스들이 등장하면서 위조 신분증 가격이 9달러 정도로 떨어졌고, 암호화폐로 결제할 수 있게 되었으며, 특별한 기술도 필요 없게 되었습니다. 이것이 바로 이번 사건의 핵심이며, 웹사이트 하나를 압수한다고 해서 상황이 바뀌는 것은 아닙니다.
2025년 8월, FBI와 네덜란드 경찰은 veriftools 도메인과 약 640만 달러 상당의 암호화폐를 압수했습니다. 잘된 일입니다. 하지만 veriftools는 거의 즉시 다시 활동을 시작했습니다. 따라서 이 글에서는 veriftools가 무엇이었는지, 왜 이런 사기 행위가 계속 발생하는지, 가짜 신분증이 실제로 어떻게 신원 확인을 우회하려는지, 그리고 9달러짜리 위조 신분증을 구매한 사람이 어떤 점에서 손해를 보는지 살펴봅니다. 간단히 말해서, 효과적인 방어책은 도메인 등록기관에 있는 것이 아니라 신원 확인 단계에 있다는 것입니다.
veriftools란 무엇이었고, 왜 중요했을까?
Veriftools는 문서 위조를 클릭 몇 번으로 간단하게 만들어주는 템플릿 생성기였습니다. 개인 정보를 입력하면 실제처럼 보이는 위조 신분증이 생성되었죠. 위조 전문가도, 암실 작업도, 전문적인 기술도 필요 없었습니다. 바로 이런 산업화가 문제입니다. 문서 위조범의 범위를 소수의 숙련된 범죄자에서 불만을 품고 인터넷만 있으면 누구나 접근할 수 있는 세상으로 넓혀버렸기 때문입니다.
규모는 결코 작지 않았습니다. 보안 연구원들과 미국 법무부의 보고에 따르면, Veriftools는 약 69개국, 심지어 미국 50개 주 전체의 신분증까지 포함하여 약 250개의 문서 템플릿을 제공했습니다. 위조 여권, 운전면허증, 은행 명세서, 공과금 고지서 등을 단돈 9달러에 판매하고, 암호화폐로 결제를 받았으며, 제휴 프로그램을 운영하고, 심지어 도난당하거나 위조된 신분 정보를 이용해 범죄자들이 위조 문서를 일괄 생성할 수 있도록 지원했습니다. 2024년 2월에는 월평균 약 28만 5천 명의 순방문자를 기록했습니다. 2025년 8월, 뉴멕시코 지방 법원이 네덜란드의 도움을 받아 진행한 단속으로 Veriftools의 도메인과 640만 달러 상당의 암호화폐가 압수되었고, 법원은 이 사건이 사기 및 신분 도용 으로부터 대중을 보호하기 위한 중요한 진전이라고 평가했습니다. 분명 그랬습니다. 하지만 그것으로 끝이 아니었습니다.
생성기 모델이 위험한 이유는 특정 문서 하나가 아니라 처리량 때문입니다. 정적인 템플릿은 위조자가 직접 내용을 채워 넣어야 하지만, 생성기는 소액의 암호화폐만 있으면 누구나 자동으로 대량의 문서를 생성할 수 있습니다. 여기에 제휴 프로그램까지 더해지면 단순한 제품 판매를 넘어 유통망까지 구축됩니다. 문서 위조는 더 이상 전문적인 기술이 아니라 구독 서비스 형태로 바뀌게 되는데, 이는 낯선 사람들을 플랫폼에 등록시키는 모든 플랫폼이 심각하게 고려해야 할 부분입니다.
가짜 문서 사이트들이 사라지지 않는 이유는 무엇일까요?
불편한 점은 바로 이것입니다. 범죄 소탕은 증상만 치료할 뿐입니다. 범죄는 서비스 형태로 제공되기 때문에 하룻밤 사이에 다시 번식합니다.
압수 발표 당일, veriftools 운영자들은 텔레그램에 재개장 공지를 올렸습니다. 몇 주 만에 여러 도메인 확장자를 사용하는 대체 도메인들이 활성화되었고, 2025년 10월까지 이 도메인들을 합쳐 월 방문자 수가 약 8만 명에 달했습니다. 이는 드문 일이 아닙니다. 한 신원 확인 업체는 위조품 유통 시장에 약 2만 4천 개의 판매자가 있다고 추산합니다. 하나가 무너지면 수요는 다른 곳으로 옮겨가는 것입니다.
그 이면에는 냉혹한 경제 논리가 숨어 있습니다. 인프라는 저렴하고, 고객은 익명이며, 결제 시스템은 암호화폐 기반이므로 운영을 재개하는 데 드는 한계 비용은 거의 없습니다. 도메인 압류는 그 비용을 약간 증가시키지만, 근본적인 해결책은 되지 못합니다.
저는 도메인 압수 조치가 무의미하다고 주장하는 것이 아닙니다. 640만 달러를 압수하고 위조품 유통을 차단하는 것은 분명 중요한 일입니다. 하지만 "도메인을 압수했다"는 것은 보도자료일 뿐, 정당한 방어 수단이 될 수 없습니다. 보안 계획이 법 집행 기관이 위조 문서 공급을 차단하는 데에만 의존한다면, 제대로 된 계획이라고 할 수 없습니다. 지속 가능한 해결책은 위조품이 반드시 유통될 것이라는 전제하에, 유통될 때 적발하는 것입니다.
가짜 신분증이 KYC를 우회하려는 시도와 그 이면에 숨겨진 사기 급증 현상
Veriftools 같은 서비스에서 만들어지는 저렴한 위조품이 중요한 이유는 바로 이러한 위조품들이 훨씬 더 큰 규모의 범죄 조직을 부추기기 때문입니다. 신원 도용은 이러한 도구들의 등장과 함께 산업화되었으며, 2025년 이후의 수치는 결코 가볍게 볼 수 없을 것입니다.
합성 및 AI 생성 문서
가장 빠르게 성장하는 분야는 실제 데이터와 허구의 데이터를 혼합하여 간단한 검증만 거치는 합성 신원입니다. Sumsub의 통계에 따르면, 합성 신원을 이용한 문서 사기는 2024년 초부터 2025년 초까지 북미 지역에서 311% 증가했습니다. Entrust 사이버보안 연구소에 따르면, 디지털 문서 위조는 현재 전체 문서 사기의 약 57%를 차지하며, 이는 전년 대비 244% 증가한 수치입니다. 현재 위조 문서 50개 중 1개는 인공지능(AI)으로 생성된 것입니다. 이러한 위조 행위는 전문 위조범이 필요하지 않고, 구독 서비스만 있으면 가능합니다. 합성 신원은 특히 문제가 심각한데, 신고할 피해자가 한 명도 없기 때문입니다. 신원이 부분적으로 허구로 만들어졌기 때문에, 오랫동안 활동하지 않고 빈약한 이력을 쌓다가 갑자기 도용될 수 있습니다. 누군가 문제를 알아차릴 즈음에는 이미 계정 잔액이 모두 소진되어 사라진 후입니다.
딥페이크 및 인젝션 공격
또 다른 위협은 실제 인물임을 증명하기 위해 인증 시스템이 의존하는 실시간 셀카 영상입니다. 공격자들은 이제 딥페이크와 인젝션 공격을 통해 이를 무력화시키고, 조작된 영상을 카메라 스트림에 직접 삽입합니다. 생체인식 기업 iProov는 2024년에 약 5분마다 딥페이크 시도가 발생했다고 기록했으며, 2025년에는 iOS 인젝션 공격이 2023년 대비 741% 증가하고, 가상 카메라 공격은 2,665% 증가할 것으로 예상했습니다. 9달러짜리 문서와 무료 얼굴 바꾸기 도구만 있으면 값비싼 범죄를 저지를 수 있습니다.
이러한 변화가 중요한 이유는 생동감을 가장하는 것이 가장 어려운 부분이라고 여겨졌기 때문입니다. 시스템이 카메라에 포착된 움직이는 얼굴이 방 안에 있는 실제 사람의 얼굴이라고 단순히 믿는다면, 주입된 영상은 그 가정을 조용히 무너뜨립니다. 얼굴 인식은 이제 "이 얼굴이 살아있는 얼굴인가?"라는 질문에서 "이 카메라 영상 자체가 진짜인가?"라는 질문으로 바뀌어야 했고, 이는 더욱 어렵고 최근에 대두된 문제입니다.
| 사기 신호 (2025-2026) | 수치 | 원천 |
|---|---|---|
| 합성 신분증 사기, 북미 지역 | 전년 대비 +311% | 숨섭 |
| 디지털 문서 위조는 전체 문서 사기에서 차지하는 비중이 큽니다. | 57% (+244% 전년 대비) | 맡기다 |
| AI가 생성한 문서 | 약 50개 중 1개는 가짜입니다. | 숨섭 |
| 딥페이크 시도 빈도 | 약 5분마다 | 아이프루브 |
| iOS 주입 공격 | +741% (2025년) | 아이프루브 |
신원 확인을 통해 위조 문서를 어떻게 적발하는가
그렇다면 만약 불법적인 방법으로 빠져나갈 수 없다면, 어떻게 해야 할까요? 바로 입구에서 적발하는 것입니다. 9달러짜리 위조지폐 구매자가 예상하지 못하는 부분이 바로 이것입니다. 여러 겹의 검증 시스템은 증거가 나올 때까지 해당 문서가 위조된 것이라고 가정하도록 설계되어 있기 때문입니다.
문서 감식 및 생체인식
먼저 문서 자체부터 살펴보겠습니다. 포렌식 검사는 템플릿으로는 깔끔하게 위조할 수 없는 부분들을 분석합니다. 픽셀 수준의 불일치, 글꼴 및 레이아웃 차이, 조작된 메타데이터, 그리고 여러 제출물에서 템플릿이 재사용된 경우 등이 여기에 해당합니다. Resistant AI가 veriftools의 출력물을 테스트했을 때, 위조범들이 메타데이터를 제거하려 시도한 후에도 신분증, 은행 명세서, 공과금 청구서 등 모든 문서가 고위험으로 분류되었습니다. 이러한 방식이 효과적인 이유는 생성기가 기계가 아닌 사람이 보기에 그럴듯해 보이도록 최적화되어 있기 때문입니다. 운전면허증을 얼핏 보는 사람은 그럴듯해 보이는 카드를 만들지만, 포렌식 엔진은 동일한 템플릿이 수천 건의 다른 제출물을 생성했고, 글꼴 간격이 미세하게 다르고, 보안 패턴이 내장된 것이 아니라 인쇄되었다는 점 등을 감지합니다. 여기에 실제 사람이 있는지 확인하는 3D 생체 인식, 조작된 카메라 영상을 포착하는 주사 감지, 그리고 최신 여권 칩에서 진짜 서명된 데이터를 직접 읽어내는 NFC 칩 판독 기능까지 더해지면, 조잡한 위조 문서는 더 이상 속일 수 없게 됩니다.
자금세탁방지(AML) 심사 및 데이터베이스 교차 확인
서류 심사를 통과했다고 해서 모든 게 해결되는 건 아닙니다. 자금 세탁방지(AML) 심사는 제재 대상 목록, 정치적으로 영향력 있는 인물 데이터베이스, 그리고 부정적인 언론 보도와 대조하여 신원을 확인하고, 계좌 개설 후에도 지속적으로 모니터링합니다. 신원 정보는 공신력 있는 출처와 대조하여 검증하고, 동일한 분석 결과를 바탕으로 광범위한 결제 사기 탐지 시스템 을 구축하여 가짜 계좌 하나가 수십 개의 계좌를 몰래 개설하는 것을 막습니다. 서류가 완벽하게 작성되었더라도 실제 기록과 일치하지 않는 인물의 이름이 기재되어 있거나, 이미 감시 대상 목록에 올라 있는 인물일 수 있습니다. 하지만 지속적인 모니터링을 통해 처음에는 안전해 보였던 계좌가 90일 만에 위험해진 경우를 찾아낼 수 있습니다. 어느 한 단계도 완벽할 수는 없습니다. 이러한 여러 단계를 거치면 9달러짜리 서류 하나가 오히려 위험한 도박이 될 수 있습니다.
| 검증 계층 | 그것이 포착하는 것 |
|---|---|
| 문서 감식 | 템플릿 재사용, 글꼴, 픽셀 및 메타데이터 이상 현상 |
| 3D 생체 감지 | 사진, 마스크, 그리고 재생된 영상 |
| 주입 감지 | 가상 카메라 및 딥페이크 피드 |
| NFC 칩 읽기 | 진짜 서명이 없는 칩 데이터가 포함된 문서 |
| 자금세탁방지(AML) 및 데이터베이스 검사 | 승인되었거나, 위조되었거나, 일치하지 않는 신원 |
가짜 상품을 유통시키는 플랫폼의 비용은 얼마일까요?
이 모든 것은 이론적인 이야기가 아닙니다. Veriftools와 같은 업체에서 위조한 문서는 이러한 벌금을 발생시키는 직접적인 원인이 되며, 잘못 처리했을 때 발생하는 비용은 기하급수적으로 증가했습니다. KYC(고객 신원 확인) 실패는 이제 기업의 존립을 위협하는 심각한 문제입니다.
올해를 살펴보세요. OKX는 2025년 2월 미국 법무부(DOJ)와의 소송에서 50억 달러가 넘는 의심스러운 거래와 관련된 혐의로 5억 4백만 달러 이상의 벌금을 내는 데 합의했습니다. 검찰은 직원들이 고객들에게 신분증 위조를 지시했다고 밝혔습니다. KuCoin은 그 전 달에 DOJ와 약 3억 달러에 합의했고, 그해 9월에는 캐나다 금융정보분석센터(FINTRAC)로부터 사상 최대 규모인 1,960만 캐나다 달러의 벌금을 부과받았습니다. 그리고 이러한 규제는 계속 강화되고 있습니다. EU의 MiCA 규정은 CASP 승인 시한을 2026년 7월 1일로 엄격하게 정하고 있으며, 보다 광범위한 자금세탁방지(AML) 규정은 2027년에 시행될 예정이고, 벌금은 수천만 달러에 달할 수 있습니다. 위조된 서류를 허용하는 플랫폼은 돈을 절약하는 것이 아니라 훨씬 더 큰 대가를 미루는 것일 뿐입니다.
이것들은 예외적인 사례가 아닙니다. 암호화폐 업계에서 전례 없는 규모의 규제 조치이며, 모든 사례의 핵심은 신원 확인입니다. 시장 조작이나 교묘한 해킹이 아닙니다. 규제 당국이 끊임없이 되짚어본 질문은 단순하면서도 어려웠습니다. 누가 플랫폼에 접속했는지, 그리고 플랫폼은 실제로 어떤 검증 절차를 거쳤는가?
| 집행 사건 | 패널티 | 언제 |
|---|---|---|
| OKX(미국 법무부) | 5억 4백만 달러 이상 | 2025년 2월 |
| KuCoin (미국 법무부) | 약 3억 달러 | 2025년 1월 |
| KuCoin (FINTRAC, 캐나다) | 1,960만 캐나다 달러 | 2025년 9월 |
구매를 고려하는 모든 사람에게 적용되는 법적 현실
개인 구매자에게 Veriftools 또는 그 후속 도메인을 이용하는 데 드는 9달러는 저렴한 부분입니다. 실제 가격은 두 배이며, 두 부분 모두 과소평가되어 있습니다.
먼저 법부터 살펴보겠습니다. 미국에서는 위조 신분증을 제작하거나 사용하는 것은 연방 범죄이며, 18 USC § 1028에 따라 최대 15년의 징역형에 처해질 수 있습니다. 가중 신분 도용죄의 경우 2년의 징역형이 추가로 부과됩니다. 그럼에도 불구하고 수요는 여전히 존재합니다. 한 조사에 따르면 미국 젊은 성인의 약 30%가 위조 신분증 구매를 고려해 본 적이 있다고 합니다. 바로 이러한 가벼운 수요가 위조 신분증 거래를 위험하게 만드는 요인입니다. 대부분의 구매자는 위조 신분증을 무해한 소품으로 생각하지, 연방 범죄로 이어질 것이라고는 생각하지 않습니다. 구매 행위가 가볍게 느껴졌다고 해서 법의 처벌 수위가 낮아지는 것은 아닙니다.
둘째, 데이터 문제입니다. 정교한 위조품을 제작하려면 범죄 조직에 실제 개인 정보, 사진, 세부 정보 등을 넘겨줘야 합니다. 그 거래에서 당신은 고객이 아니라 상품이 되는 것입니다. 신분 도용, 협박, 데이터 재판매는 자연스러운 다음 단계입니다. 플랫폼 측면에서 보면, 위조품으로 적발될 경우 자금이 동결되고 영구적으로 이용이 금지됩니다. 구매자는 돈, 계정, 그리고 자신의 신원에 대한 통제권까지 모두 잃게 되는 경우가 많습니다.
이러한 비대칭성에 대해 솔직하게 이야기할 필요가 있습니다. 가짜 계정을 판매하는 사람은 계정 정지 및 도메인 상실이라는 불이익을 당할 수 있지만, 내일 아침이면 다시 등록할 수 있습니다. 반면, 구매자는 연방 기록에 남을 위험을 감수해야 합니다. 전체 거래 구조는 구매자가 법적 위험을 떠안는 반면, 판매자는 암호화폐를 챙겨 다른 곳에서 사업을 재건하도록 되어 있습니다. 누구도 이런 거래에서 불리한 입장에 서고 싶어 하지 않을 것입니다.
가짜 신분증 적발이 단속보다 효과적인 이유는 무엇일까요?
Veriftools를 압수했다고 해서 가짜 신분증이 사라진 것은 아닙니다. 또 다른 가짜 신분증 유통 조직이 이미 가동 중이며, 그 다음 조직은 텔레그램 채널에서 첫 번째 조직이 무너지기만을 기다리고 있습니다. 여기서 얻을 수 있는 교훈은 공급이 탄력적이므로 방어 또한 탄력적이어야 한다는 것입니다. 암호화폐 사업의 경우, 모든 문서를 의심스럽게 여기는 다중 신원 확인 시스템을 구축하고, 디지털 포렌식, 활성성 검증, 지속적인 자금세탁방지(AML) 모니터링으로 뒷받침해야 합니다. 일반 투자자에게는 9달러보다 훨씬 간단하고 저렴한 방법이 있습니다. 하지만 구매자가 되지 마십시오.
