블로그

사기로부터 Loyalty Point 프로그램 보호: 5가지 핵심 팁

앤젤 그랜트 썸네일
엔젤 그랜트
2022년 7월 15일 게시

우리 중 많은 사람이 마침내 오랫동안 기다려온 휴가 여행과 휴가를 계획하기 시작했습니다. 아마도 팬데믹이 시작된 이래로 진짜로 휴식을 취할 수 있는 첫 번째 기회가 될 것입니다. 여러분은 로열티 프로그램에서 먼지가 쌓인 채로 오랫동안 사용하지 않은 항공 마일리지나 호텔 포인트를 사용할 계획을 세웠을 수도 있습니다. 사이버 범죄자들이 귀하의 로열티 계정을 사기하거나 손상시켜 로열티 포인트를 훔쳐갔다는 사실을 알게 된다면 얼마나 놀라실지 상상해 보세요.

충성도 포인트 프로그램은 꽤 오래 전부터 사용되어 왔으며 고객을 유치하고 유지하는 데 유용한 도구이지만, 현재 이러한 프로그램을 표적으로 삼아 계정을 침해하는 범죄자가 급증하고 있습니다. 그 이유는? 사용하지 않은 로열티 포인트가 정말 많습니다. Loyalty Security Association 에 따르면 미국에서만 계정의 45%가 비활성 상태로 간주되는데, 이는 약 48조 달러 상당의 사용되지 않은 포인트가 회원 계정에 보관되어 있으며, 대부분은 모니터링되지 않거나 아마도 잊혀져 있음을 의미합니다. 사이버범죄자들에게는 이것이 즐거운 일입니다. 왜냐하면 이들은 간과된 이런 요점을 쉽게 침해하여 개인적 이익을 위해 수익을 창출하기 때문입니다.

범죄자들이 로열티 프로그램을 타겟으로 삼는 이유

사이버 범죄자에게 있어서 로열티 포인트 계정을 침해하는 것은 쉬운 일입니다. 이러한 계좌가 수천 달러의 가치를 보유하고 있더라도 대부분의 소비자는 은행이나 금융 기관의 금융 계좌만큼 주의 깊게 모니터링하지 않습니다. 많은 계정이 간단한 사용자 이름/비밀번호 쌍으로 보호되고 있으며, 많은 소비자가 비밀번호를 재사용하므로, 도용한 자격 증명을 사용하는 범죄자는 자동화된 봇 공격을 사용하여 로열티 계정에 자격 증명을 채우는 것이 비교적 간단하다는 것을 알게 되었습니다. 범죄자들은 포인트를 손에 넣으면 포인트를 현금으로 바꾸거나, 상품권과 같은 추적 불가능한 품목으로 교환하거나, 다크 웹에서 금전적 가치로 포인트를 판매할 수 있으며, 이 모든 것이 사기꾼에게는 위험이 낮습니다. 게다가 범죄자들은 로열티 계정을 침해하면 단기적인 재정적 이득뿐만 아니라 개인 식별 정보, 여행 및 숙박 데이터, 쇼핑 패턴 등을 사용한 신원 도용을 포함한 추가적인 사기 활동을 위한 데이터 및 정보에 접근할 수 있다는 것을 알고 있습니다.

사실, 조심해야 할 사람은 사이버 범죄자뿐만이 아닙니다. 주의해야 할 세 가지 유형의 충성도 사기는 다음과 같습니다.

  • 더블딥: 이는 합법적인 회원이 "더블딥핑"을 통해 프로그램을 사기하는 경우입니다. 즉, 전화와 온라인에서 동시에 포인트를 사용하는 것입니다. 또는 회원은 구매하지 않은 상품에 로열티 계정 번호를 첨부하여 사기성 포인트를 적립할 수도 있습니다. 회원은 많은 양의 보상 포인트를 적립하기 위해 구매를 한 후 거래를 취소할 수도 있습니다. 하지만 포인트를 현금 보상으로 교환하기 전에는 취소할 수 없습니다. 또한, 합법적인 소비자와 로열티 회원도 프로그램의 허점을 조작하여 정책이나 비즈니스 로직을 남용할 수 있습니다. 쿠폰이나 프로모션 코드를 공유하거나, 상인 정책을 위반하거나, 동일한 보상 프로그램에 연결된 여러 신용카드에 가입하여 불법적으로 보상을 받는 것을 예로 들 수 있습니다.
  • 내부자 작업: 이는 사기에 조직의 내부자나 직원이 관련된 경우입니다. 그들은 사용하지 않거나 청구되지 않은 포인트를 다른 회원 계정에 할당하거나, 계정 간에 포인트를 사기성으로 이전하는 등의 행위를 통해 로열티 프로그램을 조작할 수 있습니다.
  • 사이버 범죄자: 단연 충성도 프로그램 사기의 가장 큰 원인은 사이버범죄이며, 가장 흔한 악용 사례로는 자격 증명 채우기, 폼재킹, 간단한 피싱과 같은 자동화된 도구를 통한 계정 인수(ATO)가 있으며, 이를 통해 누적된 포인트나 저장된 신용카드 정보에 접근합니다. 자격 증명 스터핑은 악의적인 행위자가 대량의 손상된 자격 증명(다른 사이트에서 유출된 사용자 이름 및 비밀번호 등)을 다른 사이트의 로그인과 테스트하는 것을 포함합니다. 그리고 사람들이 여러 계정에서 비밀번호를 재사용하기 때문에 이러한 전략은 로열티 계정을 잠금 해제하는 데 매우 성공적일 수 있으며, 공격자는 사용자 이름과 비밀번호를 변경하여 계정을 인수할 수 있습니다. 폼재킹은 해커가 계정을 탈취할 수 있는 다른 경로를 열어주는 행위로, 소비자가 개인 정보를 입력할 때 데이터를 수집하고 전송하기 위해 로열티 프로그램 웹 양식을 하이재킹하는 행위를 말합니다. 이를 통해 공격자는 계정 키를 손에 넣게 되고, 공격자는 마음껏 포인트를 훔치거나 계정을 다른 사악한 목적으로 이용할 수 있습니다.

로열티 포인트 프로그램 방어 및 보호

고객과 로열티 프로그램을 사기 행위로부터 보호하는 것은 매우 중요합니다. 이를 적절히 처리하지 않으면 소비자의 신뢰와 브랜드 평판이 심각하게 손상될 수 있습니다.

그러나 기존의 사이버 방어 수단은 더 이상 로열티 프로그램에 대한 정교한 공격을 막을 만큼 강력하지 않습니다. 짧은 세션 시간 초과, 지역 차단, 다중 요소 인증, 회원에게 CAPTCHA를 풀도록 강요하는 방식 등에 묶인 시대에 뒤떨어진 보호 기능과 불필요하게 제한적인 정책은 사용자를 좌절시키며 쉽게 우회될 수 있습니다.

공격자는 몇 달러만 지출하면 저렴한 CAPTCHA 해결 서비스를 통합하여 기본적인 봇 방어를 우회할 수 있으며 특정 지리적 대상에 대한 더욱 충실한 자격 증명 목록을 구매할 수 있습니다. 방어자가 범죄 조직의 활동을 막으려 할 때 범죄 조직은 전술과 방법을 빠르게 바꿀 수 있으며, 특수 도구와 전담 보안 팀 없이 공격자보다 앞서 나가는 것은 거의 극복할 수 없는 문제가 됩니다.

사기로부터 로열티 프로그램을 보호하기 위한 5가지 모범 사례

로열티 프로그램은 회사의 가장 귀중한 고객에게 보상을 제공하고 고객과 더욱 강력한 관계를 구축하는 데 도움이 됩니다. 증가하는 공격에 직면하여 이러한 프로그램을 보호하고 이들이 유지하는 고객 보상을 보호하는 것이 그 어느 때보다 중요합니다. 다음의 5가지 모범 사례는 합법적인 회원의 포인트 모니터링이나 사용에 부당한 부담을 주지 않으면서도 가장 흔한 공격 시나리오를 해결하는 데 집중하는 데 도움이 될 수 있습니다.

  1. 신규 계좌 사기를 방지하세요. 신규 계정 사기는 사기꾼이 도난당한 신원, 합성된 신원 또는 기타 거짓 신원을 사용하여 대규모로 로열티 계정을 만드는 것을 말합니다. 범죄자들은 이러한 사기 계정을 이용해 포인트를 축적하고 재판매하며 환급 프로그램을 남용할 수 있습니다. 공격자가 자동화된 도구나 정교한 수동 기술을 사용하여 여러 개의 가짜 계정을 만들려고 시도하는 경우 사이버 방어 솔루션이 이를 감지할 수 있는지 확인하세요.
  2. 계정 인수 시도를 완화합니다. 범죄자가 포인트를 훔치거나 저장된 고객 개인 데이터를 악용하여 계정을 인수하려는 시도를 방어 시스템에서 감지할 수 있는지 확인하세요. 방어 시스템은 공격 패턴의 변화에 적응하고 실시간으로 재정비할 수 있어야 합니다. 원격 측정 신호를 사용하여 비정상적인 동작을 감지하고 입력 패턴을 파악하여 로열티 프로그램 트래픽을 모니터링하고, 이를 통해 트래픽이 악의적인 봇에서 비롯된 것인지 아니면 사람에서 비롯된 것인지 확인할 수 있습니다.
  3. 수상 내역에 대한 현금 거래를 보호합니다. 각 거래의 신뢰성과 이와 관련된 고객 신원을 정확하게 판단하여 충성도 보상 사용 및 계정에 연결된 신용 카드를 통한 결제가 합법적인지 확인하세요. 인공지능과 머신러닝을 활용하여 거래 동작을 모니터링하고, 로그인 시도로 인해 발생하는 위험에 따라 적절한 인증 프로세스를 선택하는 적응형 인증을 활용하는 도구로 프로그램을 보호하세요. 예를 들어, 비밀번호 변경이나 대량의 포인트 현금화 등 위험도가 높은 활동에는 강화된 보안 과제가 필요할 수 있습니다.
  4. 정책 남용을 모니터링합니다. 쿠폰 및 프로모션, 할인, 추천 보너스 등의 악용이나 조작으로 인한 재정적 손실을 제한하기 위한 예방책을 마련하고, 모든 상호작용 지점에서 신뢰도를 평가하세요.
  5. 내부 위협을 이해하세요 . 고객 충성도 프로그램은 내부자로부터의 위협에도 취약합니다. 사이트 직원의 활동을 추적하고 측정하여 이상 징후를 모니터링하고, 직원이 로열티 프로그램 데이터에 접근하는 것을 제한하세요.

고객이 로열티 포인트 사기를 피할 수 있도록 도와주세요

로열티 프로그램과 자산을 보호하는 것 외에도 다음 팁을 공유하여 프로그램 회원이 포인트와 보상을 사기로부터 방어할 수 있도록 도와주세요.

  • 회원은 다른 금융 계좌와 마찬가지로 자신의 로열티 프로그램을 모니터링해야 합니다. 로열티 프로그램에는 수천 달러의 가치가 포함될 수 있으므로 고객은 정기적으로 계정을 확인하여 계정이 훼손되지 않았는지 확인해야 합니다.
  • 강화된 보안 옵션을 활용하세요. 가능하다면 회원들에게 다중 인증과 같은 추가적인 보안 기능을 사용하도록 권장하세요. 보안 계층이 하나 더 추가될수록 사기꾼이 계정을 손상시키기가 더 어려워집니다.
  • 여행 홍보 이메일과 소셜 미디어 게시물에 주의하세요 . 고객에게 프로모션을 어떻게, 어디에서 전달하는지 알려주세요. 사실이 아닐 정도로 좋은 여행 상품은 실제로 사실이 아닐 가능성이 높으므로 이를 이해하도록 하세요. 이메일 피드에 원치 않는 제안이나 거래 정보가 뜨면 로그인 인증 정보와 신용카드 번호를 포함한 개인 데이터를 훔치려는 피싱 시도일 가능성이 높습니다. 회원은 답변하고 정보를 제공하기 전에 발신자의 이메일 주소가 합법적인지 확인하거나 로열티 프로그램에 직접 문의(받은 이메일이나 소셜 미디어 게시물을 통해 문의하지 마세요)하여 제안이나 요청이 진짜인지 확인해야 합니다.  

F5는 조직이 로열티 프로그램 사기를 방어하는 데 도움을 줄 수 있어 자랑스럽게 생각합니다.

F5가 회원 계정을 표적으로 삼아 귀중한 보상 포인트와 마일을 획득함으로써 브랜드에 피해를 줄 수 있는 자동화된 공격과 사기 활동으로부터 많은 조직을 어떻게 보호하는지 알아보세요. 이 고객 사례를 읽고, Distributed Cloud Bot Defense가 주요 글로벌 항공사가 상용 고객 계정을 침해한 자동화된 웹사이트 공격을 막는 데 어떻게 도움이 되었는지 알아보세요.

고객의 손에 로열티 포인트, 기프트 카드 가치 및 기타 저장 가치가 남아 있고 범죄자의 손에 남아 있지 않도록 보장하는 데 도움이 되는 방법을 알아보려면 https://www.f5.com/solutions/ecommerce를 방문하세요.