블로그

사기: 적을수록 더 좋다

조슈아 골드파브 썸네일
조슈아 골드파브
2022년 6월 17일 게시

존 나이스빗은 1982년 그의 책 《메가트렌드》 에서 다음과 같이 썼습니다. "우리는 정보에 익사하고 있지만 지식에는 굶주려 있습니다." 이 말은 제가 가장 좋아하는 말 중 하나입니다. 현대 생활의 많은 상황을 아주 정확하게 포착한 것 같거든요. 

특히, 많은 기업의 사기 및 위험 관리 프로그램의 현황을 간결하게 설명합니다. 불행히도 이러한 프로그램 중 다수는 효과를 떨어뜨리는 높은 수준의 거짓 양성 및 기타 '노이즈'로 어려움을 겪고 있습니다.

사기와 위험 관리에 있어서 노이즈가 왜 그토록 큰 문제가 되는지 이해하려면, 먼저 노이즈가 기업에 미치는 영향을 이해해야 합니다. 이것이 전부는 아니지만, 핵심적인 몇 가지를 소개하면 다음과 같습니다.

  • 낭비된 사이클: 사기 대응팀이 중앙 집중화된 작업 대기열을 중심으로 워크플로를 구축하는 경우 대기열에 있는 모든 이벤트에 우선순위를 지정하고 검토해야 합니다. 노이즈는 사기 및 위험 관리 프로그램에 가치를 더하지 않지만 검토가 필요한 항목으로 이 대기열을 채웁니다. 다시 말해, 소음은 팀의 소중하고 가치 있는 시간을 낭비하게 됩니다.
  • 놓친 진정한 양성: '건초더미에서 바늘 찾기'라는 표현은 전형적인 기업이 보는 방대한 양의 데이터와 이벤트 중에서 사기를 찾아내는 것과 같은 상황을 설명하기에 적합합니다. 이 비유에서 바늘은 진짜 긍정(사기 사건)을 나타내고, 건초더미는 사기가 아닌 거짓 긍정을 나타냅니다. 거짓 양성이 많을수록 진짜 양성을 찾아내는 것이 더 어렵습니다.
  • 인프라 비용 증가: 소음에는 인프라 비용도 따른다. 사기 및 위험 관리 프로그램에 가치를 더하는지 여부와 관계없이 모든 로그, 경고 및 이벤트는 보관해야 합니다. 따라서 팀이 거의 가치가 없거나 전혀 가치가 없는 방대한 양의 정보를 수집한다면, 그들은 단순히 과도한 인프라를 사용하고 있는 셈입니다. 이로 인해 상당한 가치를 더할 수 있는 분야에 예산을 투자하지 못하게 되어 비용이 발생합니다.
  • 왜곡된 지표: 거짓 양성 반응은 지표를 왜곡하는 경향이 있습니다. 특히 실제 사기 사건에 소요된 시간의 비율, 진양성과 가양성 비율, 이벤트 양, 처리된 이벤트 수, 이벤트당 분석가 시간 등에 초점을 맞춘 특정 측정 항목은 노이즈 양에 따라 큰 영향을 받습니다. 거짓 양성률이 낮을수록 이러한 지표는 더욱 정확하고 유리하게 나타날 것입니다.

거짓 양성 및 노이즈가 사기 방지 프로그램에 부정적인 영향을 미치는 이유를 몇 가지 알면 문제를 해결하는 계획을 세우는 데 도움이 됩니다. 다음은 내 경력 동안 도움이 되었던 몇 가지 제안입니다.

  • 위험부터 시작하세요: 놀랍지 않게도 모든 성공적인 길은 위험에 대한 확고한 이해와 헌신으로 시작됩니다.  기업의 위험과 위협을 평가하고, 이러한 위험과 위협이 기업 내에서 어떤 영향을 미치는지 이해하고, 각각과 관련된 잠재적인 비용/손실을 파악합니다.
  • 목표와 우선순위 설정: 사기 및 위험 관리 대응팀이 내릴 수 있는 가장 중요한 전략적 결정 중 하나는 무엇을 언제 처리할 것인지 선택하는 것입니다. 이전 단계에서 열거한 위험과 위협을 우선순위에 두고 단기 및 장기적으로 해결할 목표와 우선순위를 설정합니다.
  • 영향 평가: 특히 중요한 자산, 핵심 리소스, 중요 데이터 저장소를 식별하면 팀이 사고의 잠재적 영향을 이해하는 데 도움이 됩니다. 가장 민감하고 중요한 자산, 리소스, 데이터가 어디에 있는지 아는 것은 팀이 원격 측정의 부족한 부분에 집중하는 데 도움이 됩니다.
  • 데이터와 격차 파악: 현재 시행 중인 원격 측정 데이터 수집을 파악하고 각 데이터 소스가 사기 및 위험 관리 프로그램에 기여하는지 평가합니다. 그렇지 않은 경우 이를 수집하면 인프라 비용만 추가되고 가치는 전혀 추가되지 않습니다. 팀이 잠재적인 사기 행위를 알아차리지 못하게 하는 원격 측정의 격차를 파악하고, 이러한 격차를 해소하기 위한 계획을 수립합니다.
  • 기술과 격차를 고려하세요. 이미 적용된 기술을 자세히 살펴보고, 낮은 거짓 양성률로 사기를 안정적으로 감지하거나, 귀중한 원격 측정 데이터를 수집하거나, 프로세스와 워크플로를 보다 효율적으로 만드는 등 이 기술이 도움이 되는 부분을 조사하세요. 기술이 사기 대응팀을 돕기는커녕 오히려 방해하고 있는 부분과 원격 측정 및 감지에 격차가 있는 부분을 주의 깊게 살펴보세요.
  • 시끄러운 규칙과 서명을 버리세요. 대량의 노이즈를 생성하는 규칙, 서명 및 기타 탐지 기술은 사기 탐지 프로그램에 가치를 더하지 않습니다. 그 대신 그들은 팀을 거짓 양성 결과에 묻어버리고 사기 사건을 적시에 정확하게 감지하지 못하도록 적극적으로 노력합니다. 급진적으로 들릴지 모르지만, 이런 소음이 나는 감지 메커니즘을 없애는 데에는 단점보다 이점이 훨씬 더 많습니다.
  • 엄격한 감지를 구현합니다. '적을수록 더 좋다'는 철학을 진정으로 수용하려면 데이터를 예리하게 조사하고 신뢰성과 신뢰성이 높은 경고 및 이벤트를 생성해야 할 필요성을 이해해야 합니다. 탐지를 위한 더욱 정교한 접근 방식을 구현하려면 사전에 상당한 시간 투자가 필요하지만 큰 이익을 얻을 수 있습니다.  알림과 이벤트가 좋을수록 작업 대기열의 신호가 커지고 잡음이 줄어듭니다.
  • 프로세스에 집중하세요: 세상에서 가장 높은 품질의 작업 대기열이라도 프로세스가 손상되었거나 존재하지 않는다면 아무런 도움이 되지 않습니다. 세계적 수준의 사기 방지팀은 성숙하고 효율적이며 효과적인 프로세스를 갖추고 있어 업무 방식을 안내하고 관리합니다.
  • 지속적으로 개선: 완벽한 사기 대응팀은 없습니다. 최고의 사기 대응팀은 약점과 개선 기회를 잘 알고 있습니다. 위에서 언급한 사항 각각에서 얻은 교훈을 활용하여 사기 방지 프로그램을 지속적으로 개선하는 것은 사기 대응 팀의 장기적인 성공에 매우 중요합니다.

더 많은 데이터, 더 많은 이벤트, 더 많은 알림이 사기 감지를 더 효과적으로 만든다는 기존의 통념은 시대에 뒤떨어진 잘못된 정보입니다. 기업은 위험에 대한 전략적 집중과 소음을 줄이기 위한 체계적인 접근 방식을 통해 사기 탐지 수준과 사기 프로그램의 성숙도를 모두 개선할 수 있습니다. 신호 대 잡음 비율을 개선하고 사기 탐지를 위해 '적을수록 좋다'는 철학을 채택하면 기업은 거짓 양성에 낭비되는 리소스를 크게 줄이는 동시에 더 많은 사기를 탐지하는 데 도움이 될 수 있습니다.

더 자세히 알고 싶으신가요? 6월 21-22일 Infosecurity Europe(부스 P20)에서 조쉬와 대화를 나눠보세요 .