2023년 사기에 맞서기 위한 5가지 팁

점점 디지털화되는 세상에서 사기 추세는 끊임없이 변화하고 진화하고 있으며, 소비자, 전자 상거래 공급업체, 금융 서비스 기관을 향한 위협은 수적으로 증가할 뿐만 아니라 그 방식도 더욱 정교해지고 있습니다. 전자상거래 사기로 인한 전 세계 총 비용은 2022년 410억 달러에서 2023년 480억 달러를 초과할 것으로 예상됩니다 . 사기 비용이 증가한 데에는 여러 가지 이유가 있는데, 팬데믹으로 인한 온라인 결제 및 쇼핑의 급증, 웹에서 사용자 정보를 추출하는 악성 코드와 봇의 만연, 인간의 취약성을 이용하는 사회 공학적 사기 등이 있습니다.

디지털 시대 이전에는 사기를 저지르려면 신중한 계획과 은밀함이 필요했지만, 오늘날에는 사람과 기업을 사기하는 데 필요한 도구를 온라인에서 쉽게 구할 수 있어 진입 장벽이 낮아졌습니다. 가상 시장, 디지털 지갑, 그리고 모든 것의 지속적인 자동화로 인해 범죄자들은 점점 더 큰 표적을 가지게 되었을 뿐만 아니라 기업에 침투하고 개인 계정을 공격하는 데 도움이 되는 정교한 도구와 기술도 보유하게 되었습니다.

2023년 사기에 맞서기 위한 5가지 팁을 살펴보고 올해 사이버 범죄자들이 전자 상거래 및 금융 서비스 기관을 표적으로 삼는 데 사용할 최신 위협과 악용 사례를 미리 파악하세요.

1. 고객 경험을 해치지 않으면서도 사기를 보다 효과적으로 막기 위해 여러 보안 전략을 정렬하고 수렴합니다.
   
   상인과 금융 서비스 기관은 조직 전체의 보안, 고객 신원 및 액세스 관리(CIAM), 사기 탐지, 인증 팀 간에 보다 나은 협업을 달성 해야 합니다. 범죄자들은 CAPTCHA와 다중 인증(MFA) 기술에 지나치게 의존하는 고립된 조직과 보안 전략으로 인해 발생한 취약점을 쉽게 악용할 수 있습니다. 이러한 메커니즘은 종종 로그인 시도로 인한 위험 수준에 관계없이 사용자 경험을 지속적으로 방해합니다.
   
   투명하고 지속적인 위험 기반 인증 접근 방식을 통해 판매자와 금융 서비스 회사는 조직 내 여러 팀 간에 보다 효과적으로 협업하고 , 사용자 경험에 부정적인 영향을 주지 않으면서 민첩하고 안정적이며 노이즈가 적은 사기 탐지 전략을 구현할 수 있습니다.
   
   
2. 사기 방지를 위한 기존의 옴니터치포인트 전략을 확장하여 고객 여정 전반에 걸친 종합적인 가시성과 통찰력을 포함합니다.
   
   이 전략은 종종 간과되는 세 가지 핵심 영역에 초점을 맞춰야 합니다. 
   
   
   • 초기 채널 참여로 시작하세요: 고객이 채널에 접속하거나 계정을 만드는 순간부터 고객의 활동에 집중하세요. 이를 통해 디지털 스키밍이나 폼재킹과 같은 클라이언트 측 공격에 대한 가시성이 향상될 것입니다 . 이러한 공격은 신규 계좌 개설 시 자격 증명과 카드 정보를 수집하는 데 자주 사용되며 궁극적으로 계정 인수 및 사기로 이어집니다.
     
     
   • 타사 API 통합을 살펴보세요. 웹 및 모바일 앱 외에도 판매자와 금융 서비스 회사는 보안 전략에 API 보호를 포함해야 합니다. API는 웹 앱을 표적으로 삼는 것과 동일한 공격, 즉 데이터 침해 및 사기로 이어지는 악용 및 남용의 영향을 받으며, 타사 통합 및 생태계에서 예상치 못한 위험을 초래합니다.
     
     
   • 카드 미발행(CNP) 거래로 인한 사기 가능성을 검토하세요. 근접성 기반 결제, 온라인에서 구매하고 매장에서 픽업(BOPIS), 지금 구매하고 나중에 결제(BNPL)와 같은 새로운 서비스를 제공하는 상인은 이러한 거래에 수반되는 위험을 이해하고 사기 방지 전략에서 이를 해결해야 합니다. 여기에는 사기 행동 패턴에 대한 통찰력을 얻고 이를 모든 채널에서 공유하는 것이 포함됩니다.
      
3. 경기 침체기에는 새로운 우호적 사기에 주의하세요.
   
   경기 침체기에 상인들이 증가할 것으로 예상할 수 있는 새로운 유형의 우호적 사기 중 하나는 "가짜 우호적 사기"입니다. 이는 범죄자가 실제 고객처럼 보이도록 합성 신원을 만든 다음 구매한 상품에 대한 대금을 지불할 의도가 없이 거래할 때 발생합니다. 가짜 우호적 사기꾼은 도난한 신원 정보를 쉽게 재활용하고 새로운 합성 신원을 만들어 새 계좌를 개설하고 거부 목록에 의해 차단되는 것을 피할 수 있으므로 예방 노력을 성공적으로 속이고 우회할 수 있습니다. 이러한 우호적 사기 활동에는 BNPL 프로그램 남용, 로열티 포인트 및 환불 사기, 그리고 폭로 사기가 포함될 수 있습니다.
   
   보안 팀과 사기 대응 팀 모두에게 침해된 계정에 대한 통찰력을 제공하기 위해 머신 러닝으로 강화된 행동 생체 인식 패턴에서 얻은 통찰력을 활용하여 합성 ID를 사용한 새로운 계정 등록을 방지합니다. 
   
   
4. 디지털 결제에 대한 새로운 규정을 담은 EU의 결제 서비스 지침 3(PSD3)에 대비하세요.
   
   결제 서비스 지침이 2018년에 처음 발표된 이래로 상인과 은행에 대한 위협, 결제 및 규제 환경은 엄청나게 바뀌었습니다. PSD3의 강화된 규정에 대비하기 위해 판매자와 은행은 최근 도입한 새로운 서비스, 채널 및 결제 옵션을 파악해야 합니다. 예를 들어, 이제 디지털 지갑과 암호화폐 결제를 지원하고 있나요? 타사 공급업체가 제공하는 다양한 형식의 새로운 API를 몇 개나 귀사의 시스템과 웹 속성에 통합했습니까?
   
   상인과 금융 서비스 기관은 기존 API 및 인증 전략에 대해 규정 준수 위험 사고방식에만 집중하는 것에서 벗어나야 합니다. 그들은 현대 API 환경이 초래하는 보안 및 사기 위험의 전체적인 범위를 사전에 예상하고 관리 해야 합니다.
   
   
5. Shadow API 및 JavaScript 공급망 공격과 곧 출시될 PCI DSS(Payment Card Industry Data Security Standard) 4.0에 대비하세요.
   
   조직이 타사 생태계를 확장하고 사이트의 스크립트 수가 증가함에 따라 디지털 스키밍, 폼재킹 , Magecart 공격과 같은 클라이언트 측 공격으로 이어질 수 있는 새로운 잠재적 취약점이 발생합니다. 디지털 스키밍 공격은 범죄자가 합법적인 페이지나 애플리케이션에 하나 이상의 악성 스크립트를 삽입하거나 기존 스크립트를 조작하여 소프트웨어 공급망의 브라우저 내부 공격을 생성할 때 발생합니다. 이러한 공격은 타사에서 스크립트를 자주 업데이트하기 때문에 감지하기 어렵고, 조직에서 보안 검토를 수행할 프로세스가 없는 경우가 많습니다.
   
   또한, 새로운 PCI DSS 4.0 요구 사항은 결제 처리 iFrame, 챗봇, 광고, 소셜 공유 버튼, 추적 스크립트와 같은 기능을 활성화하기 위해 전자 상거래 웹사이트에 통합된 브라우저 기반 타사 JavaScript 라이브러리를 모니터링하고 관리해야 할 필요성에 초점을 맞춥니다. 새로운 PCI DSS 4.0 요구 사항을 준수하는 것은 2025년까지 의무화되지 않지만, 클라이언트 측 공격은 현재 점점 더 흔해지고 있으므로 가능한 한 빨리 강화된 보호 조치를 마련해야 합니다.
   
   조직에서는 웹 애플리케이션에서 실행되는 JavaScript 라이브러리에 대한 가시성이 필요할 뿐만 아니라 GDPR 및 CCPA와 같은 데이터 개인 정보 보호 규정을 위반하지 않고 새로운 PCI DSS 4.0 요구 사항 6.4.3 및 11.6.1을 준수하기 위해 스크립트가 수집하는 데이터를 알아야 합니다.
   
   대부분의 조직에서는 스크립트 관리에 대한 중앙 집중화된 제어 및 거버넌스가 없습니다. 사이트의 타사 스크립트에 취약점이 있고 이를 알지 못하는 경우 패치를 적용할 수 없습니다. 범죄자들은 많은 조직이 웹사이트에 내장된 스크립트의 양, 범위, 규모를 관리, 추적, 보호하는 데 어려움을 겪고 있다는 사실을 알고 있으며, 이러한 스크립트를 악용하여 자신의 이익을 얻는 방법도 알고 있습니다.